UrlClickEvents
Si applica a:
- Microsoft Defender XDR
La UrlClickEvents tabella nello schema di ricerca avanzata contiene informazioni sui collegamenti sicuri dai messaggi di posta elettronica, da Microsoft Teams e dalle app Office 365 nelle app desktop, mobili e Web supportate.
Importante
Questa tabella è attualmente disponibile in anteprima pubblica. Alcune informazioni si riferiscono a una funzionalità pre-rilasciata che può essere modificata in modo sostanziale prima che venga rilasciata commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Per informazioni sulle altre tabelle nello schema per Ricerca avanzata vedere le informazioni di riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui l'utente ha fatto clic sul collegamento |
Url |
string |
URL completo su cui l'utente ha fatto clic |
ActionType |
string |
Indica se il clic è stato consentito o bloccato da Collegamenti sicuri o bloccato a causa di un criterio tenant, ad esempio, dall'elenco Tenant Allow Block |
AccountUpn |
string |
Nome entità utente dell'account che ha fatto clic sul collegamento |
Workload |
string |
Applicazione da cui l'utente ha fatto clic sul collegamento, con i valori Email, Office e Teams |
NetworkMessageId |
string |
Identificatore univoco del messaggio di posta elettronica che contiene il collegamento su cui è stato fatto clic, generato da Microsoft 365 |
ThreatTypes |
string |
Verdetto al momento del clic, che indica se l'URL ha portato a malware, phishing o altre minacce |
DetectionMethods |
string |
Tecnologia di rilevamento usata per identificare la minaccia al momento del clic |
IPAddress |
string |
Indirizzo IP pubblico del dispositivo da cui l'utente ha fatto clic sul collegamento |
IsClickedThrough |
bool |
Indica se l'utente è stato in grado di fare clic sull'URL originale (1) o meno (0) |
UrlChain |
string |
Per gli scenari che coinvolgono reindirizzamenti, include gli URL presenti nella catena di reindirizzamento |
ReportId |
string |
Identificatore univoco per un evento click. Per gli scenari clickthrough, l'ID report avrebbe lo stesso valore e pertanto deve essere usato per correlare un evento click. |
È possibile provare questa query di esempio che usa la UrlClickEvents tabella per restituire un elenco di collegamenti in cui un utente è stato autorizzato a procedere:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articoli correlati
- Supportato Microsoft Defender XDR tipi di evento di streaming nell'API di streaming di eventi
- Ricerca proattiva delle minacce
- Collegamenti sicuri in Microsoft Defender per Office 365
- Eseguire un'azione sui risultati delle query di ricerca avanzate
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per