שתף באמצעות

UrlClickEvents

  • מאמר

חל על:

  • Microsoft Defender XDR

הטבלה בסכימת הציד המתקדמות מכילה מידע אודות לחיצות של קישורים בטוחים מהודעות דואר אלקטרוני, מ- Microsoft Teams ואפליקציות Office 365 ביישומי שולחן עבודה, מכשירים ניידים ואפליקציות אינטרנט נתמכים.UrlClickEvents

לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.

שם עמודה סוג נתונים תיאור
Timestamp datetime התאריך והשעה שבהם המשתמש לחץ על הקישור
Url string כתובת ה- URL המלאה שהמשתמש לחץ עליה
ActionType string ציון אם הלחיצה הותר או נחסמה על-ידי קישורים בטוחים או נחסמה עקב מדיניות דיירים, לדוגמה, מרשימת חסימות היתר דיירים
AccountUpn string שם ראשי של המשתמש של החשבון שלחצת עליו
Workload string היישום ממנו לחץ המשתמש על הקישור, כאשר הערכים הם 'דואר אלקטרוני', Office ו- Teams
NetworkMessageId string המזהה הייחודי עבור הדואר האלקטרוני המכיל את הקישור שנלחץ, שנוצר על-ידי Microsoft 365
ThreatTypes string גזר הדין בעת לחיצה, אשר מציינת אם כתובת ה- URL הובילה לתוכנות זדוניות, דיוג או איומים אחרים
DetectionMethods string טכנולוגיית זיהוי ששימשה לזיהוי האיום בעת לחיצה
IPAddress string כתובת IP ציבורית של המכשיר ממנו המשתמש לחץ על הקישור
IsClickedThrough bool מציין אם המשתמש הצליח ללחוץ באמצעות כתובת ה- URL המקורית (1) או לא (0)
UrlChain string עבור תרחישים הכוללים ניתובים מחדש, הוא כולל כתובות URL הקיימים בשרשרת הניתוב מחדש
ReportId string המזהה הייחודי עבור אירוע לחיצה. עבור תרחישי 'מעבר ללחיצה', מזהה הדוח יהיה בעל ערך זהה, ולכן יש להשתמש בו כדי לתאם אירוע לחיצה.

באפשרותך לנסות שאילתה לדוגמה זו המשתמשת UrlClickEvents בטבלה כדי להחזיר רשימה של קישורים שאליהם המשתמש הורשה להמשיך:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.