UrlClickEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen UrlClickEvents i det avanserte jaktskjemaet inneholder informasjon om klarerte koblinger-klikk fra e-postmeldinger, Microsoft Teams og Office 365-apper i støttede skrivebords-, mobil- og nettapper.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Datoen og klokkeslettet brukeren klikket på koblingen |
Url |
string |
Den fullstendige URL-adressen som brukeren klikket på |
ActionType |
string |
Angir om klikket var tillatt eller blokkert av klarerte koblinger eller blokkert på grunn av en leierpolicy, for eksempel fra listen Over tillatte leiere |
AccountUpn |
string |
Brukerhovednavn for kontoen som klikket på koblingen |
Workload |
string |
Programmet som brukeren klikket på koblingen fra, med verdiene E-post, Office og Teams |
NetworkMessageId |
string |
Den unike identifikatoren for e-postmeldingen som inneholder koblingen som klikkes, generert av Microsoft 365 |
ThreatTypes |
string |
Dommen på tidspunktet for klikk, som forteller om nettadressen førte til skadelig programvare, phish eller andre trusler |
DetectionMethods |
string |
Gjenkjenningsteknologi som ble brukt til å identifisere trusselen på tidspunktet for klikk |
IPAddress |
string |
Offentlig IP-adresse for enheten som brukeren klikket på koblingen fra |
IsClickedThrough |
bool |
Angir om brukeren kunne klikke gjennom til den opprinnelige URL-adressen (1) eller ikke (0) |
UrlChain |
string |
For scenarioer som involverer omadresseringer, inkluderer den nettadresser som finnes i omadresseringskjeden |
ReportId |
string |
Den unike identifikatoren for en klikkhendelse. Når det gjelder klikkvisningsscenarioer, vil rapport-ID ha samme verdi, og derfor bør den brukes til å koordinere en klikkhendelse. |
Du kan prøve denne eksempelspørringen som bruker UrlClickEvents tabellen til å returnere en liste over koblinger der en bruker fikk lov til å fortsette:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Relaterte artikler
- Støttede hendelsestyper for Microsoft Defender XDR-strømming i hendelsesstrømming av API
- Proaktivt jakten på trusler
- Klarerte koblinger i Microsoft Defender for Office 365
- Utfør handling på avanserte jaktspørringsresultater
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.