UrlClickEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A UrlClickEvents speciális veszélyforrás-keresés sémájának táblázata az e-mailekből, a Microsoft Teamsből és a támogatott asztali, mobil- és webalkalmazások Office 365 alkalmazásokból származó Biztonságos hivatkozások kattintásokról tartalmaz információkat.
Fontos
Ez a táblázat jelenleg nyilvános előzetes verzióban érhető el. Bizonyos információk egy előzetes kiadású funkcióra vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt jelentősen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az a dátum és idő, amikor a felhasználó a hivatkozásra kattintott |
Url |
string |
A felhasználó által rákattintott teljes URL-cím |
ActionType |
string |
Azt jelzi, hogy a kattintást biztonságos hivatkozások engedélyezték vagy blokkolták-e, vagy bérlői szabályzat miatt blokkolták, például a Bérlői tiltás listából |
AccountUpn |
string |
A hivatkozásra kattintott fiók egyszerű felhasználóneve |
Workload |
string |
Az alkalmazás, amelyről a felhasználó a hivatkozásra kattintott, és az értékek Email, az Office és a Teams |
NetworkMessageId |
string |
A Microsoft 365 által létrehozott, a kattintott hivatkozást tartalmazó e-mail egyedi azonosítója |
ThreatTypes |
string |
Ítélet a kattintáskor, amely azt jelzi, hogy az URL-cím kártevőkhez, adathalászathoz vagy más fenyegetésekhez vezetett-e |
DetectionMethods |
string |
A fenyegetés azonosítására használt észlelési technológia a kattintáskor |
IPAddress |
string |
Annak az eszköznek a nyilvános IP-címe, amelyről a felhasználó a hivatkozásra kattintott |
IsClickedThrough |
bool |
Azt jelzi, hogy a felhasználó át tudott-e kattintani az eredeti URL-címre (1) vagy sem (0) |
UrlChain |
string |
Átirányítási forgatókönyvek esetén az átirányítási láncban található URL-címeket is tartalmazza |
ReportId |
string |
A kattintási esemény egyedi azonosítója. Átkattintási forgatókönyvek esetén a jelentésazonosítónak ugyanaz az értéke, ezért a kattintási esemény korrelálásához kell használni. |
Megpróbálhatja ezt a példa lekérdezést, amely a táblát használja azon UrlClickEvents hivatkozások listájának visszaadására, amelyeken a felhasználó folytathatta a műveletet:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Kapcsolódó cikkek
- Támogatott Microsoft Defender XDR streamelési eseménytípusok az eseménystreamelési API-ban
- Proaktív veszélyforrás-keresés
- Biztonságos hivatkozások a Office 365-höz készült Microsoft Defender
- Művelet végrehajtása speciális keresési lekérdezési eredményeken
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: