Microsoft Defender for Office 365 でクリック、選択、または要求された URL を含むイベント。
テーブル属性
| 属性 |
値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
はい |
| インジェスト時の変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AccountUpn |
ひも |
リンクをクリックしたアカウントのユーザー プリンシパル名。 |
| アクションタイプ |
ひも |
クリックが "安全なリンク" によって許可またはブロックされたか、またはテナントの許可ブロック リストなどのテナント ポリシーによってブロックされたかを示します。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| 検出方法 |
ひも |
クリック時に脅威を特定するために使用された検出テクノロジ。 |
| IPアドレス |
ひも |
ユーザーがリンクをクリックしたデバイスのパブリック IP アドレス。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データの取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| IsClickedThrough |
ブール |
ユーザーが元の URL をクリックできたか、許可されなかったかを示します。 |
| ネットワークメッセージID |
ひも |
Microsoft 365 によって生成された、リンクがクリックされた電子メールのための一意の識別子。 |
| ReportId |
ひも |
これは、クリックイベントのユニークな識別子です。 クリックスルー シナリオでは、レポート ID の値は同じであるため、クリック イベントを関連付けるために使用する必要があることに注意してください。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| 脅威タイプ |
ひも |
クリック時の判定。URL がマルウェア、フィッシング、またはその他の脅威につながったかどうかを示します。 |
| タイムジェネレーテッド |
datetime |
ユーザーがリンクをクリックした日時。 値は TimeGenerated と同じであり、Microsoft Defender for Endpoints クエリの互換性を目的としています。 |
| タイプ |
ひも |
テーブルの名前 |
| URL |
ひも |
ユーザーがクリックした完全な URL。 |
| UrlChain |
ひも |
リダイレクトを含むシナリオでは、リダイレクト チェーンに存在する URL が含まれます。 |
| ワークロード |
ひも |
ユーザーがリンクをクリックしたアプリケーション。値は電子メール、Office、Teams です。 |