UrlClickEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
UrlClickEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, desteklenen masaüstü, mobil ve web uygulamalarında e-posta iletilerinden, Microsoft Teams'den ve Office 365 uygulamalarından Gelen Güvenli Bağlantılar tıklamaları hakkında bilgi içerir.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
Sütun adı | Veri türü | Açıklama |
---|---|---|
Timestamp |
datetime |
Kullanıcının bağlantıya tıkladığında tarih ve saat |
Url |
string |
Kullanıcı tarafından tıklanan tam URL |
ActionType |
string |
Tıklamaya güvenli bağlantılar tarafından izin verilip verilmediğini veya engellenip engellenmediğini veya örneğin Kiracı İzin Verme Bloğu listesinden bir kiracı ilkesi nedeniyle engellenip engellenmediğini gösterir |
AccountUpn |
string |
Bağlantıya tıklanan hesabın Kullanıcı Asıl Adı |
Workload |
string |
Kullanıcının bağlantıya tıkladığı uygulama ve değerler E-posta, Office ve Teams şeklindedir |
NetworkMessageId |
string |
Microsoft 365 tarafından oluşturulan tıklanan bağlantıyı içeren e-postanın benzersiz tanımlayıcısı |
ThreatTypes |
string |
Url'nin kötü amaçlı yazılıma mı, kimlik avına mı yoksa diğer tehditlere mi yol açtığını belirten tıklama sırasında karar verme |
DetectionMethods |
string |
Tıklama sırasında tehdidi tanımlamak için kullanılan algılama teknolojisi |
IPAddress |
string |
Kullanıcının bağlantıya tıkladığı cihazın genel IP adresi |
IsClickedThrough |
bool |
Kullanıcının özgün URL'ye (1) tıklayıp tıklayamadığını gösterir (0) |
UrlChain |
string |
Yeniden yönlendirme içeren senaryolar için, yeniden yönlendirme zincirinde bulunan URL'leri içerir |
ReportId |
string |
Tıklama olayının benzersiz tanımlayıcısı. Tıklama senaryoları için rapor kimliği aynı değere sahip olur ve bu nedenle bir tıklama olayını ilişkilendirmek için kullanılmalıdır. |
Kullanıcının devam etmesine izin verilen bağlantıların UrlClickEvents
listesini döndürmek için tabloyu kullanan bu örnek sorguyu deneyebilirsiniz:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
İlgili makaleler
- Olay akış API'sinde desteklenen Microsoft Defender XDR akış olay türleri
- Tehditleri proaktif olarak avlama
- Office 365 için Microsoft Defender'da Güvenli Bağlantılar
- Gelişmiş tehdit avcılığı sorgu sonuçları üzerinde eylem gerçekleştirme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.