UrlClickEvents
S’applique à :
- Microsoft Defender XDR
Le UrlClickEvents tableau du schéma de repérage avancé contient des informations sur les clics de liens fiables dans les messages électroniques, Microsoft Teams et les applications Office 365 dans les applications de bureau, mobiles et web prises en charge.
Importante
Cette table est actuellement en préversion publique. Certaines informations concernent une fonctionnalité pré-publiée qui peut être considérablement modifiée avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure auxquelles l’utilisateur a cliqué sur le lien |
Url |
string |
URL complète sur laquelle l’utilisateur a cliqué |
ActionType |
string |
Indique si le clic a été autorisé ou bloqué par les liens fiables ou bloqué en raison d’une stratégie de locataire, pour instance, dans la liste des blocages autorisés du locataire |
AccountUpn |
string |
Nom d’utilisateur principal du compte qui a cliqué sur le lien |
Workload |
string |
Application à partir de laquelle l’utilisateur a cliqué sur le lien, avec les valeurs Email, Office et Teams |
NetworkMessageId |
string |
Identificateur unique de l’e-mail qui contient le lien cliqué, généré par Microsoft 365 |
ThreatTypes |
string |
Verdict au moment du clic, qui indique si l’URL a conduit à un programme malveillant, hameçonnage ou d’autres menaces |
DetectionMethods |
string |
Technologie de détection utilisée pour identifier la menace au moment du clic |
IPAddress |
string |
Adresse IP publique de l’appareil à partir duquel l’utilisateur a cliqué sur le lien |
IsClickedThrough |
bool |
Indique si l’utilisateur a pu cliquer sur l’URL d’origine (1) ou non (0) |
UrlChain |
string |
Pour les scénarios impliquant des redirections, il inclut les URL présentes dans la chaîne de redirection |
ReportId |
string |
Identificateur unique d’un événement click. Pour les scénarios de clic, l’ID de rapport aurait la même valeur et, par conséquent, il doit être utilisé pour mettre en corrélation un événement click. |
Vous pouvez essayer cet exemple de requête qui utilise la UrlClickEvents table pour renvoyer une liste de liens où un utilisateur a été autorisé à continuer :
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articles connexes
- Types d’événements de streaming Microsoft Defender XDR pris en charge dans l’API de streaming d’événements
- Repérage proactif des menaces
- Liens fiables dans Microsoft Defender pour Office 365
- Agir sur les résultats de requête de repérage avancés
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour