다음을 통해 공유


UrlClickEvents

적용 대상:

  • Microsoft Defender XDR

UrlClickEvents 고급 헌팅 스키마의 표에는 지원되는 데스크톱, 모바일 및 웹앱의 전자 메일 메시지, Microsoft Teams 및 Office 365 앱의 안전한 링크 클릭에 대한 정보가 포함되어 있습니다.

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 사용자가 링크를 클릭한 날짜 및 시간
Url string 사용자가 클릭한 전체 URL
ActionType string 예를 들어 테넌트 허용 차단 목록에서 테넌트 정책으로 인해 클릭이 허용 또는 차단되었는지 여부를 나타냅니다.
AccountUpn string 링크를 클릭한 계정의 사용자 계정 이름
Workload string 사용자가 링크를 클릭한 애플리케이션이며, 값은 Email, Office 및 Teams입니다.
NetworkMessageId string Microsoft 365에서 생성된 클릭 링크가 포함된 전자 메일의 고유 식별자입니다.
ThreatTypes string URL이 맬웨어, 피싱 또는 기타 위협으로 이어졌는지 여부를 알려주는 클릭 시의 평결
DetectionMethods string 클릭 시 위협을 식별하는 데 사용된 검색 기술
IPAddress string 사용자가 링크를 클릭한 디바이스의 공용 IP 주소
IsClickedThrough bool 사용자가 원래 URL(1)을 클릭할 수 있었는지 여부를 나타냅니다(0).
UrlChain string 리디렉션과 관련된 시나리오의 경우 리디렉션 체인에 있는 URL이 포함됩니다.
ReportId string 클릭 이벤트에 대한 고유 식별자입니다. 클릭스루 시나리오의 경우 보고서 ID의 값이 같으므로 클릭 이벤트의 상관 관계를 지정하는 데 사용해야 합니다.

테이블을 사용하여 UrlClickEvents 사용자가 계속 진행할 수 있는 링크 목록을 반환하는 이 예제 쿼리를 시도할 수 있습니다.

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.