UrlClickEvents
适用于:
- Microsoft Defender XDR
UrlClickEvents
高级搜寻架构中的表包含有关在受支持的桌面、移动和 Web 应用中从电子邮件、Microsoft Teams 和Office 365应用单击安全链接的信息。
重要
此表目前为公共预览版。 某些信息与预发布功能相关,在商业发布之前,该功能可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
列名称 | 数据类型 | 说明 |
---|---|---|
Timestamp |
datetime |
用户单击链接的日期和时间 |
Url |
string |
用户单击的完整 URL |
ActionType |
string |
指示单击是被安全链接允许或阻止,还是由于租户策略(例如租户允许阻止列表)而被阻止 |
AccountUpn |
string |
用户主体单击链接的帐户的名称 |
Workload |
string |
用户从中单击链接的应用程序,其值Email、Office 和 Teams |
NetworkMessageId |
string |
包含 Microsoft 365 生成的单击链接的电子邮件的唯一标识符 |
ThreatTypes |
string |
单击时的判决,用于判断 URL 是否导致恶意软件、网络钓鱼或其他威胁 |
DetectionMethods |
string |
用于在单击时识别威胁的检测技术 |
IPAddress |
string |
用户从中单击链接的设备的公共 IP 地址 |
IsClickedThrough |
bool |
指示用户是否能够单击到原始 URL (1) (0) |
UrlChain |
string |
对于涉及重定向的方案,它包括重定向链中存在的 URL |
ReportId |
string |
单击事件的唯一标识符。 对于点击方案,报表 ID 将具有相同的值,因此它应该用于关联单击事件。 |
可以尝试此示例查询,该查询使用 UrlClickEvents
表返回允许用户继续操作的链接列表:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
相关文章
- 在事件流式处理 API 中支持Microsoft Defender XDR流式处理事件类型
- 主动搜寻威胁
- Microsoft Defender for Office 365中的安全链接
- 对高级搜寻查询结果执行操作
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈