UrlClickEvents
Uwaga
Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.
Dotyczy:
- Microsoft Defender XDR
Tabela UrlClickEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o kliknięciach bezpiecznych linków z wiadomości e-mail, aplikacji Microsoft Teams i aplikacji Office 365 w obsługiwanych aplikacjach klasycznych, mobilnych i internetowych.
Ważna
Ta tabela jest obecnie w publicznej wersji zapoznawczej. Niektóre informacje odnoszą się do wstępnie wydanej funkcji, która może zostać znacząco zmodyfikowana przed jej komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina kliknięcia linku przez użytkownika |
Url |
string |
Pełny adres URL, który został kliknięty przez użytkownika |
ActionType |
string |
Wskazuje, czy kliknięcie zostało dozwolone, zablokowane przez bezpieczne linki, czy zablokowane z powodu zasad dzierżawy, na przykład z listy bloku zezwalania na dzierżawę |
AccountUpn |
string |
Główna nazwa użytkownika konta, które kliknął link |
Workload |
string |
Aplikacja, z której użytkownik kliknął link, z wartościami Email, Office i Teams |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail zawierającej klikniętą link wygenerowaną przez platformę Microsoft 365 |
ThreatTypes |
string |
Werdykt w momencie kliknięcia, który informuje, czy adres URL doprowadził do złośliwego oprogramowania, phish lub innych zagrożeń |
DetectionMethods |
string |
Technologia wykrywania używana do identyfikowania zagrożenia w momencie kliknięcia |
IPAddress |
string |
Publiczny adres IP urządzenia, z którego użytkownik kliknął link |
IsClickedThrough |
bool |
Wskazuje, czy użytkownik mógł kliknąć oryginalny adres URL (1), czy nie (0) |
UrlChain |
string |
W przypadku scenariuszy obejmujących przekierowania zawiera on adresy URL obecne w łańcuchu przekierowań |
ReportId |
string |
Unikatowy identyfikator zdarzenia kliknięcia. W przypadku scenariuszy przeglądania kliknięć identyfikator raportu miałby taką samą wartość, dlatego powinien służyć do korelowania zdarzenia kliknięcia. |
Możesz wypróbować to przykładowe zapytanie, które używa UrlClickEvents tabeli do zwrócenia listy linków, w których użytkownik mógł kontynuować:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artykuły pokrewne
- Obsługiwane typy zdarzeń przesyłania strumieniowego Microsoft Defender XDR w interfejsie API przesyłania strumieniowego zdarzeń
- Proaktywne wyszukiwanie zagrożeń
- Bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender
- Podjęcie akcji w oparciu o zaawansowane wyniki zapytania wyszukiwania zagrożeń
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
Już wkrótce: w ciągu 2024 r. będziemy stopniowo usuwać problemy z usługą GitHub jako mechanizm opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla