次の方法で共有


UrlClickEvents

適用対象:

  • Microsoft Defender XDR

UrlClickEvents高度なハンティング スキーマの表には、サポートされているデスクトップ、モバイル、Web アプリの電子メール メッセージ、Microsoft Teams、Office 365 アプリからの安全なリンクのクリックに関する情報が含まれています。

重要

このテーブルは現在パブリック プレビュー段階です。 一部の情報は、リリース前の機能に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime ユーザーがリンクをクリックした日時
Url string ユーザーがクリックした完全な URL
ActionType string クリックが安全なリンクによって許可されたかブロックされたか、テナント ポリシーが原因でブロックされたかを示します (たとえば、[テナント許可ブロック] リストから)
AccountUpn string リンクをクリックしたアカウントのユーザー プリンシパル名
Workload string ユーザーがリンクをクリックしたアプリケーションで、値が Email、Office、および Teams である
NetworkMessageId string Microsoft 365 によって生成されたクリックされたリンクを含む電子メールの一意識別子
ThreatTypes string クリック時の判定。URL がマルウェア、フィッシング、またはその他の脅威につながったかどうかを示します
DetectionMethods string クリック時の脅威を特定するために使用された検出テクノロジ
IPAddress string ユーザーがリンクをクリックしたデバイスのパブリック IP アドレス
IsClickedThrough bool ユーザーが元の URL (1) をクリックできたかどうかを示します (0)
UrlChain string リダイレクトに関連するシナリオでは、リダイレクト チェーンに存在する URL が含まれます
ReportId string クリック イベントの一意識別子。 クリックスルーシナリオの場合、レポート ID の値は同じであるため、クリック イベントを関連付けるために使用する必要があります。

テーブルを使用 UrlClickEvents して、ユーザーが続行を許可されたリンクの一覧を返すこのクエリ例を試すことができます。

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします