Megosztás a következőn keresztül:


UrlClickEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR

A UrlClickEvents speciális veszélyforrás-keresési séma táblázata a biztonságos hivatkozások e-mailekből, a Microsoft Teamsből és az Office 365-alkalmazásokból a támogatott asztali, mobil- és webalkalmazásokból származó kattintásokról tartalmaz információkat.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az a dátum és idő, amikor a felhasználó a hivatkozásra kattintott
Url string A felhasználó által rákattintott teljes URL-cím
ActionType string Azt jelzi, hogy a kattintást biztonságos hivatkozások engedélyezték vagy blokkolták-e, vagy bérlői szabályzat miatt blokkolták, például a Bérlői tiltás listából
AccountUpn string A hivatkozásra kattintott fiók egyszerű felhasználóneve
Workload string Az alkalmazás, amelyről a felhasználó a hivatkozásra kattintott, a következő értékekkel: E-mail, Office és Teams
NetworkMessageId string A Microsoft 365 által létrehozott, a kattintott hivatkozást tartalmazó e-mail egyedi azonosítója
ThreatTypes string Ítélet a kattintáskor, amely azt jelzi, hogy az URL-cím kártevőkhez, adathalászathoz vagy más fenyegetésekhez vezetett-e
DetectionMethods string A fenyegetés azonosítására használt észlelési technológia a kattintáskor
IPAddress string Annak az eszköznek a nyilvános IP-címe, amelyről a felhasználó a hivatkozásra kattintott
IsClickedThrough bool Azt jelzi, hogy a felhasználó át tudott-e kattintani az eredeti URL-címre (1) vagy sem (0)
UrlChain string Átirányítási forgatókönyvek esetén az átirányítási láncban található URL-címeket is tartalmazza
ReportId string A kattintási esemény egyedi azonosítója. Átkattintási forgatókönyvek esetén a jelentésazonosítónak ugyanaz az értéke, ezért a kattintási esemény korrelálásához kell használni.

Megpróbálhatja ezt a példa lekérdezést, amely a táblát használja azon UrlClickEvents hivatkozások listájának visszaadására, amelyeken a felhasználó folytathatta a műveletet:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.