次の方法で共有

UrlClickEvents

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

高度なハンティング スキーマの UrlClickEvents テーブルには、サポートされているデスクトップ、モバイル、および Web アプリの電子メール メッセージ、Microsoft Teams、Office 365 アプリからの 安全なリンク のクリックに関する情報が含まれています。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime ユーザーがリンクをクリックした日時
Url string ユーザーがクリックした完全な URL
ActionType string クリックが安全なリンクによって許可されたかブロックされたか、テナント ポリシーが原因でブロックされたかを示します (たとえば、[テナント許可ブロック] リストから)
AccountUpn string リンクをクリックしたアカウントのユーザー プリンシパル名
Workload string ユーザーがリンクをクリックしたアプリケーション。値は電子メール、Office、および Teams です
NetworkMessageId string Microsoft 365 によって生成されたクリックされたリンクを含む電子メールの一意識別子
ThreatTypes string クリック時の判定。URL がマルウェア、フィッシング、またはその他の脅威につながったかどうかを示します
DetectionMethods string クリック時の脅威を特定するために使用された検出テクノロジ
IPAddress string ユーザーがリンクをクリックしたデバイスのパブリック IP アドレス
IsClickedThrough bool ユーザーが元の URL (1) をクリックできたかどうかを示します (0)
UrlChain string リダイレクトに関連するシナリオでは、リダイレクト チェーンに存在する URL が含まれます
ReportId string クリック イベントの一意識別子。 クリックスルーシナリオの場合、レポート ID の値は同じであるため、クリック イベントを関連付けるために使用する必要があります。

UrlClickEvents テーブルを使用して、ユーザーが続行を許可されたリンクの一覧を返すこのクエリ例を試すことができます。

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender XDR Tech Community) にご参加ください。