Condividi tramite


UrlClickEvents

Si applica a:

  • Microsoft Defender XDR

La UrlClickEvents tabella nello schema di ricerca avanzata contiene informazioni sui collegamenti sicuri dai messaggi di posta elettronica, da Microsoft Teams e dalle app di Office 365 nelle app desktop, mobili e Web supportate.

Per informazioni sulle altre tabelle nello schema per Ricerca avanzata vedere le informazioni di riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora in cui l'utente ha fatto clic sul collegamento
Url string URL completo su cui l'utente ha fatto clic
ActionType string Indica se il clic è stato consentito o bloccato da Collegamenti sicuri o bloccato a causa di un criterio tenant, ad esempio, dall'elenco Tenant Allow Block
AccountUpn string Nome entità utente dell'account che ha fatto clic sul collegamento
Workload string L'applicazione da cui l'utente ha fatto clic sul collegamento, con i valori Email, Office e Teams
NetworkMessageId string Identificatore univoco del messaggio di posta elettronica che contiene il collegamento su cui è stato fatto clic, generato da Microsoft 365
ThreatTypes string Verdetto al momento del clic, che indica se l'URL ha portato a malware, phishing o altre minacce
DetectionMethods string Tecnologia di rilevamento usata per identificare la minaccia al momento del clic
IPAddress string Indirizzo IP pubblico del dispositivo da cui l'utente ha fatto clic sul collegamento
IsClickedThrough bool Indica se l'utente è stato in grado di fare clic sull'URL originale (1) o meno (0)
UrlChain string Per gli scenari che coinvolgono reindirizzamenti, include gli URL presenti nella catena di reindirizzamento
ReportId string Identificatore univoco per un evento click. Per gli scenari clickthrough, l'ID report avrebbe lo stesso valore e pertanto deve essere usato per correlare un evento click.

È possibile provare questa query di esempio che usa la UrlClickEvents tabella per restituire un elenco di collegamenti in cui un utente è stato autorizzato a procedere:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.