UrlClickEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A UrlClickEvents
speciális veszélyforrás-keresési séma táblázata a biztonságos hivatkozások e-mailekből, a Microsoft Teamsből és az Office 365-alkalmazásokból a támogatott asztali, mobil- és webalkalmazásokból származó kattintásokról tartalmaz információkat.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az a dátum és idő, amikor a felhasználó a hivatkozásra kattintott |
Url |
string |
A felhasználó által rákattintott teljes URL-cím |
ActionType |
string |
Azt jelzi, hogy a kattintást biztonságos hivatkozások engedélyezték vagy blokkolták-e, vagy bérlői szabályzat miatt blokkolták, például a Bérlői tiltás listából |
AccountUpn |
string |
A hivatkozásra kattintott fiók egyszerű felhasználóneve |
Workload |
string |
Az alkalmazás, amelyről a felhasználó a hivatkozásra kattintott, a következő értékekkel: E-mail, Office és Teams |
NetworkMessageId |
string |
A Microsoft 365 által létrehozott, a kattintott hivatkozást tartalmazó e-mail egyedi azonosítója |
ThreatTypes |
string |
Ítélet a kattintáskor, amely azt jelzi, hogy az URL-cím kártevőkhez, adathalászathoz vagy más fenyegetésekhez vezetett-e |
DetectionMethods |
string |
A fenyegetés azonosítására használt észlelési technológia a kattintáskor |
IPAddress |
string |
Annak az eszköznek a nyilvános IP-címe, amelyről a felhasználó a hivatkozásra kattintott |
IsClickedThrough |
bool |
Azt jelzi, hogy a felhasználó át tudott-e kattintani az eredeti URL-címre (1) vagy sem (0) |
UrlChain |
string |
Átirányítási forgatókönyvek esetén az átirányítási láncban található URL-címeket is tartalmazza |
ReportId |
string |
A kattintási esemény egyedi azonosítója. Átkattintási forgatókönyvek esetén a jelentésazonosítónak ugyanaz az értéke, ezért a kattintási esemény korrelálásához kell használni. |
Megpróbálhatja ezt a példa lekérdezést, amely a táblát használja azon UrlClickEvents
hivatkozások listájának visszaadására, amelyeken a felhasználó folytathatta a műveletet:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Kapcsolódó cikkek
- A Microsoft Defender XDR streamelési eseménytípusai támogatottak az eseménystreamelési API-ban
- Proaktív veszélyforrás-keresés
- Biztonságos hivatkozások az Office 365-höz készült Microsoft Defenderben
- Művelet végrehajtása speciális keresési lekérdezési eredményeken
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.