UrlClickEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen UrlClickEvents
i det avanserte jaktskjemaet inneholder informasjon om klarerte koblinger-klikk fra e-postmeldinger, Microsoft Teams og Office 365 apper i støttede skrivebords-, mobil- og nettapper.
Viktig
Denne tabellen er for øyeblikket i offentlig forhåndsversjon. Noe informasjon er knyttet til en forhåndsutgitt funksjon som kan endres vesentlig før den utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Datoen og klokkeslettet brukeren klikket på koblingen |
Url |
string |
Den fullstendige URL-adressen som brukeren klikket på |
ActionType |
string |
Angir om klikket var tillatt eller blokkert av klarerte koblinger eller blokkert på grunn av en leierpolicy, for eksempel fra listen Over tillatte leiere |
AccountUpn |
string |
Brukerhovednavn for kontoen som klikket på koblingen |
Workload |
string |
Programmet som brukeren klikket på koblingen fra, med verdiene E-post, Office og Teams |
NetworkMessageId |
string |
Den unike identifikatoren for e-postmeldingen som inneholder koblingen som klikkes, generert av Microsoft 365 |
ThreatTypes |
string |
Dommen på tidspunktet for klikk, som forteller om nettadressen førte til skadelig programvare, phish eller andre trusler |
DetectionMethods |
string |
Gjenkjenningsteknologi som ble brukt til å identifisere trusselen på tidspunktet for klikk |
IPAddress |
string |
Offentlig IP-adresse for enheten som brukeren klikket på koblingen fra |
IsClickedThrough |
bool |
Angir om brukeren kunne klikke gjennom til den opprinnelige URL-adressen (1) eller ikke (0) |
UrlChain |
string |
For scenarioer som involverer omadresseringer, inkluderer den nettadresser som finnes i omadresseringskjeden |
ReportId |
string |
Den unike identifikatoren for en klikkhendelse. Når det gjelder klikkvisningsscenarioer, vil rapport-ID ha samme verdi, og derfor bør den brukes til å koordinere en klikkhendelse. |
Du kan prøve denne eksempelspørringen som bruker UrlClickEvents
tabellen til å returnere en liste over koblinger der en bruker fikk lov til å fortsette:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Relaterte artikler
- Støttede Microsoft Defender XDR hendelsestyper for strømming i hendelsesstrømming av API
- Proaktivt jakten på trusler
- Klarerte koblinger i Microsoft Defender for Office 365
- Utfør handling på avanserte jaktspørringsresultater
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for