UrlClickEvents
Область применения:
- Microsoft Defender XDR
Таблица UrlClickEvents в схеме расширенной охоты содержит сведения о щелчках безопасных ссылок из сообщений электронной почты, Microsoft Teams и приложений Office 365 в поддерживаемых классических, мобильных и веб-приложениях.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время нажатия пользователем ссылки |
Url |
string |
Полный URL-адрес, на который щелкнул пользователь |
ActionType |
string |
Указывает, был ли щелчок разрешен или заблокирован безопасными ссылками или заблокирован из-за политики клиента, например из списка разрешенных блокировок клиента. |
AccountUpn |
string |
Имя субъекта-пользователя учетной записи, щелкнув ссылку |
Workload |
string |
Приложение, из которого пользователь щелкнул ссылку со значениями Email, Office и Teams. |
NetworkMessageId |
string |
Уникальный идентификатор сообщения электронной почты, содержащего ссылку, созданную Microsoft 365. |
ThreatTypes |
string |
Вердикт в момент щелчка, который указывает, привел ли URL-адрес к вредоносным программам, фишингу или другим угрозам. |
DetectionMethods |
string |
Технология обнаружения, которая использовалась для выявления угрозы во время щелчка |
IPAddress |
string |
Общедоступный IP-адрес устройства, с которого пользователь щелкнул ссылку |
IsClickedThrough |
bool |
Указывает, смог ли пользователь перейти по исходному URL-адресу (1) или нет (0). |
UrlChain |
string |
Для сценариев, связанных с перенаправлением, он включает URL-адреса, присутствующие в цепочке перенаправления. |
ReportId |
string |
Уникальный идентификатор события щелчка. В сценариях clickthrough идентификатор отчета будет иметь то же значение, поэтому его следует использовать для корреляции события щелчка. |
Вы можете попробовать этот пример запроса, который использует таблицу UrlClickEvents для возврата списка ссылок, по которым пользователю было разрешено продолжить:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Связанные статьи
- Поддерживаемые типы событий потоковой передачи XDR Microsoft Defender в API потоковой передачи событий
- Заблаговременный поиск угроз
- Безопасные ссылки в Microsoft Defender для Office 365
- Выполнение действий с расширенными результатами запросов охоты
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.