UrlClickEvents
Gäller för:
- Microsoft Defender XDR
Tabellen UrlClickEvents i det avancerade jaktschemat innehåller information om klick med säkra länkar från e-postmeddelanden, Microsoft Teams och Office 365 appar i skrivbords-, mobil- och webbappar som stöds.
Viktigt
Den här tabellen är för närvarande i offentlig förhandsversion. Viss information gäller en förhyrd funktion som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid när användaren klickade på länken |
Url |
string |
Den fullständiga URL:en som användaren klickade på |
ActionType |
string |
Anger om klicket tilläts eller blockerades av säkra länkar eller blockerades på grund av en klientprincip, till exempel från listan Tillåt blockering av klientorganisation |
AccountUpn |
string |
Användarens huvudnamn för kontot som klickade på länken |
Workload |
string |
Programmet som användaren klickade på länken från, med värdena Email, Office och Teams |
NetworkMessageId |
string |
Den unika identifieraren för e-postmeddelandet som innehåller den klickade länken som genereras av Microsoft 365 |
ThreatTypes |
string |
Bedömning vid tidpunkten för klickningen, som anger om URL:en ledde till skadlig kod, nätfiske eller andra hot |
DetectionMethods |
string |
Identifieringsteknik som användes för att identifiera hotet vid tidpunkten för klickningen |
IPAddress |
string |
Offentlig IP-adress för enheten som användaren klickade på länken från |
IsClickedThrough |
bool |
Anger om användaren kunde klicka sig fram till den ursprungliga URL:en (1) eller inte (0) |
UrlChain |
string |
För scenarier med omdirigeringar innehåller den URL:er som finns i omdirigeringskedjan |
ReportId |
string |
Den unika identifieraren för en klickhändelse. För clickthrough-scenarier skulle rapport-ID:t ha samma värde och bör därför användas för att korrelera en klickhändelse. |
Du kan prova den här exempelfrågan som använder UrlClickEvents tabellen för att returnera en lista med länkar där en användare tilläts fortsätta:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Relaterade artiklar
- Stöd för Microsoft Defender XDR händelsetyper för direktuppspelning i API för händelseströmning
- Jaga proaktivt efter hot
- Säkra länkar i Microsoft Defender för Office 365
- Vidta åtgärder för avancerade jaktfrågeresultat
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för