UrlClickEvents
適用於:
- Microsoft Defender XDR
進階搜捕架構中的表格 UrlClickEvents 包含來自電子郵件訊息、Microsoft Teams,以及支援桌面、行動裝置和 Web 應用程式中 Office 365 應用程式 的安全連結 點選資訊。
如需進階搜捕結構描述中其他表格的資訊,請參閱 進階搜捕參考 (部分內容為機器翻譯)。
| 資料行名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
用戶按兩下連結的日期和時間 |
Url |
string |
用戶按兩下的完整網址 |
ActionType |
string |
指出安全連結允許或封鎖按兩下是因為租用戶原則而封鎖,例如,從租使用者允許封鎖清單 |
AccountUpn |
string |
按兩下連結之帳戶的用戶主體名稱 |
Workload |
string |
使用者從中按兩下連結的應用程式,其值為 Email、Office 和 Teams |
NetworkMessageId |
string |
包含已點選連結的電子郵件唯一標識符,由 Microsoft 365 產生 |
ThreatTypes |
string |
按兩下時的決策,指出URL是否導致惡意代碼、網路釣魚或其他威脅 |
DetectionMethods |
string |
按兩下時用來識別威脅的偵測技術 |
IPAddress |
string |
用戶單擊連結之裝置的公用IP位址 |
IsClickedThrough |
bool |
指出使用者是否能夠單擊原始 URL (1) 或 (0) |
UrlChain |
string |
針對涉及重新導向的案例,其中包含重新導向鏈結中的URL |
ReportId |
string |
Click 事件的唯一標識碼。 對於點擊連結案例,報表標識碼會有相同的值,因此應該用來使 Click 事件相互關聯。 |
您可以嘗試此範例查詢,以使用資料 UrlClickEvents 表傳回允許使用者繼續執行的連結清單:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
相關文章
- 支援Microsoft事件串流 API 中的 Defender XDR 串流事件類型
- 主動威脅搜捕
- 適用於 Office 365 Microsoft Defender 中的安全連結
- 對進階搜捕查詢結果採取動作
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。