다음을 통해 공유

UrlClickEvents

  • 아티클

적용 대상:

  • Microsoft Defender XDR

UrlClickEvents 고급 헌팅 스키마의 표에는 지원되는 데스크톱, 모바일 및 웹앱의 전자 메일 메시지, Microsoft Teams 및 Office 365 앱의 안전한 링크 클릭에 대한 정보가 포함되어 있습니다.

중요

이 테이블은 현재 공개 미리 보기로 제공됩니다. 일부 정보는 상업적으로 릴리스되기 전에 크게 수정될 수 있는 사전 출시된 기능과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 사용자가 링크를 클릭한 날짜 및 시간
Url string 사용자가 클릭한 전체 URL
ActionType string 테넌트 허용 차단 목록에서 instance 대한 테넌트 정책으로 인해 클릭이 허용 또는 차단되었는지 여부를 나타냅니다.
AccountUpn string 링크를 클릭한 계정의 사용자 계정 이름
Workload string 사용자가 링크를 클릭한 애플리케이션으로, 값이 Email, Office 및 Teams
NetworkMessageId string Microsoft 365에서 생성된 클릭 링크가 포함된 전자 메일의 고유 식별자입니다.
ThreatTypes string URL이 맬웨어, 피싱 또는 기타 위협으로 이어졌는지 여부를 알려주는 클릭 시의 평결
DetectionMethods string 클릭 시 위협을 식별하는 데 사용된 검색 기술
IPAddress string 사용자가 링크를 클릭한 디바이스의 공용 IP 주소
IsClickedThrough bool 사용자가 원래 URL(1)을 클릭할 수 있었는지 여부를 나타냅니다(0).
UrlChain string 리디렉션과 관련된 시나리오의 경우 리디렉션 체인에 있는 URL이 포함됩니다.
ReportId string 클릭 이벤트에 대한 고유 식별자입니다. 클릭스루 시나리오의 경우 보고서 ID의 값이 같으므로 클릭 이벤트의 상관 관계를 지정하는 데 사용해야 합니다.

테이블을 사용하여 UrlClickEvents 사용자가 계속 진행할 수 있는 링크 목록을 반환하는 이 예제 쿼리를 시도할 수 있습니다.

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.