UrlClickEvents
Si applica a:
- Microsoft Defender XDR
La UrlClickEvents tabella nello schema di ricerca avanzata contiene informazioni sui collegamenti sicuri dai messaggi di posta elettronica, da Microsoft Teams e dalle app di Office 365 nelle app desktop, mobili e Web supportate.
Per informazioni sulle altre tabelle nello schema per Ricerca avanzata vedere le informazioni di riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui l'utente ha fatto clic sul collegamento |
Url |
string |
URL completo su cui l'utente ha fatto clic |
ActionType |
string |
Indica se il clic è stato consentito o bloccato da Collegamenti sicuri o bloccato a causa di un criterio tenant, ad esempio, dall'elenco Tenant Allow Block |
AccountUpn |
string |
Nome entità utente dell'account che ha fatto clic sul collegamento |
Workload |
string |
L'applicazione da cui l'utente ha fatto clic sul collegamento, con i valori Email, Office e Teams |
NetworkMessageId |
string |
Identificatore univoco del messaggio di posta elettronica che contiene il collegamento su cui è stato fatto clic, generato da Microsoft 365 |
ThreatTypes |
string |
Verdetto al momento del clic, che indica se l'URL ha portato a malware, phishing o altre minacce |
DetectionMethods |
string |
Tecnologia di rilevamento usata per identificare la minaccia al momento del clic |
IPAddress |
string |
Indirizzo IP pubblico del dispositivo da cui l'utente ha fatto clic sul collegamento |
IsClickedThrough |
bool |
Indica se l'utente è stato in grado di fare clic sull'URL originale (1) o meno (0) |
UrlChain |
string |
Per gli scenari che coinvolgono reindirizzamenti, include gli URL presenti nella catena di reindirizzamento |
ReportId |
string |
Identificatore univoco per un evento click. Per gli scenari clickthrough, l'ID report avrebbe lo stesso valore e pertanto deve essere usato per correlare un evento click. |
È possibile provare questa query di esempio che usa la UrlClickEvents tabella per restituire un elenco di collegamenti in cui un utente è stato autorizzato a procedere:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articoli correlati
- Tipi di eventi di streaming XDR di Microsoft Defender supportati nell'API di streaming di eventi
- Ricerca proattiva delle minacce
- Collegamenti sicuri in Microsoft Defender per Office 365
- Eseguire un'azione sui risultati delle query di ricerca avanzate
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.