UrlClickEvents
Dotyczy:
- Microsoft Defender XDR
Tabela UrlClickEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o kliknięciach bezpiecznych linków z wiadomości e-mail, aplikacji Microsoft Teams i Office 365 w obsługiwanych aplikacjach klasycznych, mobilnych i internetowych.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina kliknięcia linku przez użytkownika |
Url |
string |
Pełny adres URL, który został kliknięty przez użytkownika |
ActionType |
string |
Wskazuje, czy kliknięcie zostało dozwolone, zablokowane przez bezpieczne linki, czy zablokowane z powodu zasad dzierżawy, na przykład z listy bloku zezwalania na dzierżawę |
AccountUpn |
string |
Główna nazwa użytkownika konta, które kliknął link |
Workload |
string |
Aplikacja, z której użytkownik kliknął link, z wartościami Email, Office i Teams |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail zawierającej klikniętą link wygenerowaną przez platformę Microsoft 365 |
ThreatTypes |
string |
Werdykt w momencie kliknięcia, który informuje, czy adres URL doprowadził do złośliwego oprogramowania, phish lub innych zagrożeń |
DetectionMethods |
string |
Technologia wykrywania używana do identyfikowania zagrożenia w momencie kliknięcia |
IPAddress |
string |
Publiczny adres IP urządzenia, z którego użytkownik kliknął link |
IsClickedThrough |
bool |
Wskazuje, czy użytkownik mógł kliknąć oryginalny adres URL (1), czy nie (0) |
UrlChain |
string |
W przypadku scenariuszy obejmujących przekierowania zawiera on adresy URL obecne w łańcuchu przekierowań |
ReportId |
string |
Unikatowy identyfikator zdarzenia kliknięcia. W przypadku scenariuszy przeglądania kliknięć identyfikator raportu miałby taką samą wartość, dlatego powinien służyć do korelowania zdarzenia kliknięcia. |
Możesz wypróbować to przykładowe zapytanie, które używa UrlClickEvents tabeli do zwrócenia listy linków, w których użytkownik mógł kontynuować:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artykuły pokrewne
- Obsługiwane typy zdarzeń przesyłania strumieniowego XDR w usłudze Microsoft Defender w interfejsie API przesyłania strumieniowego zdarzeń
- Proaktywne wyszukiwanie zagrożeń
- Bezpieczne linki w usłudze Microsoft Defender dla usługi Office 365
- Podjęcie akcji w oparciu o zaawansowane wyniki zapytania wyszukiwania zagrożeń
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.