UrlClickEvents
적용 대상:
- Microsoft Defender XDR
UrlClickEvents 고급 헌팅 스키마의 표에는 지원되는 데스크톱, 모바일 및 웹앱의 전자 메일 메시지, Microsoft Teams 및 Office 365 앱의 안전한 링크 클릭에 대한 정보가 포함되어 있습니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
사용자가 링크를 클릭한 날짜 및 시간 |
Url |
string |
사용자가 클릭한 전체 URL |
ActionType |
string |
예를 들어 테넌트 허용 차단 목록에서 테넌트 정책으로 인해 클릭이 허용 또는 차단되었는지 여부를 나타냅니다. |
AccountUpn |
string |
링크를 클릭한 계정의 사용자 계정 이름 |
Workload |
string |
사용자가 링크를 클릭한 애플리케이션이며, 값은 Email, Office 및 Teams입니다. |
NetworkMessageId |
string |
Microsoft 365에서 생성된 클릭 링크가 포함된 전자 메일의 고유 식별자입니다. |
ThreatTypes |
string |
URL이 맬웨어, 피싱 또는 기타 위협으로 이어졌는지 여부를 알려주는 클릭 시의 평결 |
DetectionMethods |
string |
클릭 시 위협을 식별하는 데 사용된 검색 기술 |
IPAddress |
string |
사용자가 링크를 클릭한 디바이스의 공용 IP 주소 |
IsClickedThrough |
bool |
사용자가 원래 URL(1)을 클릭할 수 있었는지 여부를 나타냅니다(0). |
UrlChain |
string |
리디렉션과 관련된 시나리오의 경우 리디렉션 체인에 있는 URL이 포함됩니다. |
ReportId |
string |
클릭 이벤트에 대한 고유 식별자입니다. 클릭스루 시나리오의 경우 보고서 ID의 값이 같으므로 클릭 이벤트의 상관 관계를 지정하는 데 사용해야 합니다. |
테이블을 사용하여 UrlClickEvents 사용자가 계속 진행할 수 있는 링크 목록을 반환하는 이 예제 쿼리를 시도할 수 있습니다.
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
관련 문서
- 이벤트 스트리밍 API에서 지원되는 Microsoft Defender XDR 스트리밍 이벤트 유형
- 사전 대응식 위협 탐지
- Office 365용 Microsoft Defender의 안전한 링크
- 고급 헌팅 쿼리 결과에 대한 작업 수행
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.