UrlClickEvents
涉及在Microsoft Defender for Office 365上单击、选择或请求的 URL 的事件。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AccountUpn | 字符串 | 用户主体单击链接的帐户的名称。 |
| ActionType | 字符串 | 指示单击是被“安全链接”允许或阻止,还是由于租户策略(例如,来自租户允许阻止列表)而被阻止。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| DetectionMethods | 字符串 | 用于在单击时识别威胁的检测技术。 |
| IPAddress | string | 用户从中单击链接的设备的公共 IP 地址。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| IsClickedThrough | bool | 指示用户是否可以单击原始 URL 或不允许。 |
| NetworkMessageId | 字符串 | 包含 Microsoft 365 生成的单击链接的电子邮件的唯一标识符。 |
| ReportId | 字符串 | 这是单击事件的唯一标识符。 请注意,对于点击访问方案,报表 ID 将具有相同的值,因此它应该用于关联单击事件。 |
| SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| ThreatTypes | 字符串 | 单击时判断,指示 URL 是否导致恶意软件、网络钓鱼或其他威胁。 |
| TimeGenerated | datetime | 用户单击链接的日期和时间。 该值与 TimeGenerated 相同,旨在Microsoft Defender终结点查询兼容性。 |
| 类型 | 字符串 | 表的名称 |
| URL | string | 用户单击的完整 URL。 |
| UrlChain | 字符串 | 对于涉及重定向的方案,它包括重定向链中存在的 URL。 |
| 工作负荷 | 字符串 | 用户从中单击链接的应用程序,其值Email、Office 和 Teams。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈