UrlClickEvents
Область применения:
- Microsoft Defender XDR
Таблица UrlClickEvents
в схеме расширенной охоты содержит сведения о щелчках безопасных ссылок из сообщений электронной почты, Microsoft Teams и Office 365 приложений в поддерживаемых классических, мобильных и веб-приложениях.
Важно!
В настоящее время эта таблица находится в общедоступной предварительной версии. Некоторые сведения относятся к предварительно выпущенной функции, которая может быть существенно изменена до ее коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Имя столбца | Тип данных | Описание |
---|---|---|
Timestamp |
datetime |
Дата и время нажатия пользователем ссылки |
Url |
string |
Полный URL-адрес, на который щелкнул пользователь |
ActionType |
string |
Указывает, был ли щелчок разрешен или заблокирован безопасными ссылками или заблокирован из-за политики клиента, например из списка разрешенных блокировок клиента. |
AccountUpn |
string |
Имя субъекта-пользователя учетной записи, щелкнув ссылку |
Workload |
string |
Приложение, из которого пользователь щелкнул ссылку со значениями, Email, Office и Teams. |
NetworkMessageId |
string |
Уникальный идентификатор сообщения электронной почты, содержащего ссылку, созданную Microsoft 365. |
ThreatTypes |
string |
Вердикт в момент щелчка, который указывает, привел ли URL-адрес к вредоносным программам, фишингу или другим угрозам. |
DetectionMethods |
string |
Технология обнаружения, которая использовалась для выявления угрозы во время щелчка |
IPAddress |
string |
Общедоступный IP-адрес устройства, с которого пользователь щелкнул ссылку |
IsClickedThrough |
bool |
Указывает, смог ли пользователь перейти по исходному URL-адресу (1) или нет (0). |
UrlChain |
string |
Для сценариев, связанных с перенаправлением, он включает URL-адреса, присутствующие в цепочке перенаправления. |
ReportId |
string |
Уникальный идентификатор события щелчка. В сценариях clickthrough идентификатор отчета будет иметь то же значение, поэтому его следует использовать для корреляции события щелчка. |
Вы можете попробовать этот пример запроса, который использует таблицу UrlClickEvents
для возврата списка ссылок, по которым пользователю было разрешено продолжить:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Статьи по теме
- Поддерживаемые типы событий потоковой передачи Microsoft Defender XDR в API потоковой передачи событий
- Заблаговременный поиск угроз
- Безопасные ссылки в Microsoft Defender для Office 365
- Выполнение действий с расширенными результатами запросов охоты
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по