涉及在 Microsoft Defender for Office 365 上點擊、選取或請求 URL 的事件。
數據表屬性
屬性 |
值 |
資源類型 |
- |
類別 |
安全性 |
方案 |
SecurityInsights |
基本記錄 |
是的 |
擷取時間轉換 |
是的 |
範例查詢 |
是 |
資料行
資料行 |
類型 |
描述 |
AccountUpn |
字串 |
點選連結之帳戶的使用者主體名稱。 |
動作類型 |
字串 |
指出點擊是由「安全連結」允許或封鎖,還是由於租用戶允許封鎖清單中的租用戶原則而遭到封鎖。 |
_BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
檢測方法 |
字串 |
偵測技術,用於在點擊時識別威脅。 |
IP位址 |
字串 |
用戶單擊連結之裝置的公用IP位址。 |
_IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,資料導入不會向您的 Azure 帳戶收費 |
已點擊穿透 |
布爾 (bool) |
指出使用者是否能夠點選原始 URL。 |
NetworkMessageId (網路訊息識別碼) |
字串 |
包含所單擊連結之電子郵件的唯一標識符,Microsoft 365 所產生。 |
ReportId |
字串 |
這是 Click 事件的唯一標識碼。 請注意,針對點擊情境,報告 ID 的值會相同,因此應該用來關聯點擊事件。 |
SourceSystem |
字串 |
收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
租戶ID |
字串 |
Log Analytics 工作區識別碼 |
威脅類型 |
字串 |
在點選時決策,告知 URL 是否導致惡意程式碼、網路釣魚或其他威脅。 |
TimeGenerated |
日期時間 |
用戶點擊連結的日期和時間。 此值與 TimeGenerated 相同,旨在確保與 Microsoft Defender for Endpoints 查詢的相容性。 |
類型 |
字串 |
資料表的名稱 |
網址 |
字串 |
被用戶點擊的完整網址。 |
UrlChain |
字串 |
針對涉及重新導向的案例,它包含重新導向鏈結中存在的URL。 |
工作負載 |
字串 |
用戶按下連結的應用程式,其值為 Email、Office 和 Teams。 |