Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela UrlClickEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o kliknięciach bezpiecznych linków z wiadomości e-mail, aplikacji Microsoft Teams i aplikacji Office 365 w obsługiwanych aplikacjach klasycznych, mobilnych i internetowych.
Ta zaawansowana tabela wyszukiwania zagrożeń jest wypełniana przez rekordy z Ochrona usługi Office 365 w usłudze Microsoft Defender. Jeśli twoja organizacja nie wdrożyła usługi w Microsoft Defender XDR, zapytania korzystające z tabeli nie będą działać ani nie będą zwracać żadnych wyników. Aby uzyskać więcej informacji na temat sposobu wdrażania Ochrona usługi Office 365 w usłudze Defender w Defender XDR, zobacz Wdrażanie obsługiwanych usług.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina kliknięcia linku przez użytkownika |
Url |
string |
Pełny adres URL, który został kliknięty przez użytkownika |
ActionType |
string |
Wskazuje, czy kliknięcie zostało dozwolone, zablokowane przez bezpieczne linki, czy zablokowane z powodu zasad dzierżawy, na przykład z listy bloku zezwalania na dzierżawę |
AccountUpn |
string |
Główna nazwa użytkownika konta, które kliknął link |
Workload |
string |
Aplikacja, z której użytkownik kliknął link, z wartościami Email, Office i Teams |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail zawierającej klikniętą link wygenerowaną przez platformę Microsoft 365 |
ThreatTypes |
string |
Werdykt w momencie kliknięcia, który informuje, czy adres URL doprowadził do złośliwego oprogramowania, phish lub innych zagrożeń |
DetectionMethods |
string |
Technologia wykrywania używana do identyfikowania zagrożenia w momencie kliknięcia |
IPAddress |
string |
Publiczny adres IP urządzenia, z którego użytkownik kliknął link |
IsClickedThrough |
bool |
Wskazuje, czy użytkownik mógł kliknąć oryginalny adres URL (1), czy nie (0) |
UrlChain |
string |
W przypadku scenariuszy obejmujących przekierowania zawiera on adresy URL obecne w łańcuchu przekierowań |
ReportId |
string |
Unikatowy identyfikator zdarzenia kliknięcia. W przypadku scenariuszy przeglądania kliknięć identyfikator raportu miałby taką samą wartość, dlatego powinien służyć do korelowania zdarzenia kliknięcia. |
Uwaga
W przypadku kliknięć pochodzących z poczty e-mail w folderach Wersje robocze i Elementy wysłane metadane wiadomości e-mail są niedostępne lub NetworkMessageId są domyślnie przypisywane. W takim przypadku nie można połączyć go z tabelami, UrlClickEvents takimi jak EmailEvents, EmailPostDeliveryEventsi innymi, przy użyciu polecenia NetworkMessageId.Email*
Możesz wypróbować to przykładowe zapytanie, które używa UrlClickEvents tabeli do zwrócenia listy linków, w których użytkownik mógł kontynuować:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artykuły pokrewne
- Obsługiwane typy zdarzeń przesyłania strumieniowego Microsoft Defender XDR w interfejsie API przesyłania strumieniowego zdarzeń
- Proaktywne wyszukiwanie zagrożeń
- Bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender
- Podjęcie akcji w oparciu o zaawansowane wyniki zapytania wyszukiwania zagrożeń
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.