UrlClickEvents
S’applique à :
- Microsoft Defender XDR
Le UrlClickEvents tableau du schéma de repérage avancé contient des informations sur les clics de liens fiables dans les messages électroniques, Microsoft Teams et les applications Office 365 dans les applications de bureau, mobiles et web prises en charge.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure auxquelles l’utilisateur a cliqué sur le lien |
Url |
string |
URL complète sur laquelle l’utilisateur a cliqué |
ActionType |
string |
Indique si le clic a été autorisé ou bloqué par des liens fiables ou bloqué en raison d’une stratégie de locataire, par exemple, dans la liste Des blocages autorisés par le locataire |
AccountUpn |
string |
Nom d’utilisateur principal du compte qui a cliqué sur le lien |
Workload |
string |
Application à partir de laquelle l’utilisateur a cliqué sur le lien, avec les valeurs Email, Office et Teams |
NetworkMessageId |
string |
Identificateur unique de l’e-mail qui contient le lien cliqué, généré par Microsoft 365 |
ThreatTypes |
string |
Verdict au moment du clic, qui indique si l’URL a conduit à un programme malveillant, hameçonnage ou d’autres menaces |
DetectionMethods |
string |
Technologie de détection utilisée pour identifier la menace au moment du clic |
IPAddress |
string |
Adresse IP publique de l’appareil à partir duquel l’utilisateur a cliqué sur le lien |
IsClickedThrough |
bool |
Indique si l’utilisateur a pu cliquer sur l’URL d’origine (1) ou non (0) |
UrlChain |
string |
Pour les scénarios impliquant des redirections, il inclut les URL présentes dans la chaîne de redirection |
ReportId |
string |
Identificateur unique d’un événement click. Pour les scénarios de clic, l’ID de rapport aurait la même valeur et, par conséquent, il doit être utilisé pour mettre en corrélation un événement click. |
Vous pouvez essayer cet exemple de requête qui utilise la UrlClickEvents table pour renvoyer une liste de liens où un utilisateur a été autorisé à continuer :
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articles connexes
- Types d’événements de streaming XDR Microsoft Defender pris en charge dans l’API de streaming d’événements
- Repérage proactif des menaces
- Liens fiables dans Microsoft Defender pour Office 365
- Agir sur les résultats de requête de repérage avancés
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.