進階搜捕架構中的表格UrlClickEvents包含來自電子郵件訊息、Microsoft Teams,以及 Office 365 支援桌面、行動裝置和 Web 應用程式中的安全連結點選資訊。
此進階搜捕數據表是由來自 適用於 Office 365 的 Microsoft Defender 的記錄填入。 如果您的組織尚未在 Microsoft Defender 全面偵測回應 中部署服務,則使用數據表的查詢將無法運作或傳回任何結果。 如需如何在 Defender 全面偵測回應 中部署 適用於 Office 365 的 Defender 的詳細資訊,請參閱部署支持的服務。
如需進階搜捕結構描述中其他表格的資訊,請參閱 進階搜捕參考 (部分內容為機器翻譯)。
| 資料行名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
用戶按兩下連結的日期和時間 |
Url |
string |
用戶按兩下的完整網址 |
ActionType |
string |
指出安全連結允許或封鎖按兩下是因為租用戶原則而封鎖,例如,從租使用者允許封鎖清單 |
AccountUpn |
string |
按兩下連結之帳戶的用戶主體名稱 |
Workload |
string |
用戶按下連結的應用程式,其值為 Email、Office 和 Teams |
NetworkMessageId |
string |
包含已點選連結的電子郵件唯一標識符,由 Microsoft 365 產生 |
ThreatTypes |
string |
按兩下時的決策,指出URL是否導致惡意代碼、網路釣魚或其他威脅 |
DetectionMethods |
string |
按兩下時用來識別威脅的偵測技術 |
IPAddress |
string |
用戶單擊連結之裝置的公用IP位址 |
IsClickedThrough |
bool |
指出使用者是否能夠單擊原始 URL (1) 或 (0) |
UrlChain |
string |
針對涉及重新導向的案例,其中包含重新導向鏈結中的URL |
ReportId |
string |
Click 事件的唯一標識碼。 對於點擊連結案例,報表標識碼會有相同的值,因此應該用來使 Click 事件相互關聯。 |
注意事項
針對 [草稿] 和 [已傳送專案] 資料夾中來自電子郵件的按兩下,電子郵件元數據可能無法使用或 NetworkMessageId 預設為指派。 在此情況下, UrlClickEvents 無法使用 NetworkMessageId與 Email* 、 EmailPostDeliveryEvents等資料表EmailEvents聯結。
您可以嘗試此範例查詢,以使用資料 UrlClickEvents 表傳回允許使用者繼續執行的連結清單:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
相關文章
- 事件串流 API 中支援的 Microsoft Defender 全面偵測回應 串流事件類型
- 主動威脅搜捕
- 適用於 Office 365 的 Microsoft Defender 中的安全連結
- 對進階搜捕查詢結果採取動作
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。