Freigeben über

UrlClickEvents

  • Artikel

Ereignisse, die URLs betreffen, auf die geklickt, ausgewählt oder auf Microsoft Defender für Office 365 angefordert wurden.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
AccountUpn Zeichenfolge Benutzerprinzipalname des Kontos, das auf den Link geklickt hat.
ActionType Zeichenfolge Gibt an, ob der Klick durch "sichere Links" zugelassen oder blockiert wurde, weil eine Mandantenrichtlinie z. B. aus der Liste zugelassener Mandantensperren stammt.
_BilledSize real Die Datensatzgröße in Bytes.
DetectionMethods Zeichenfolge Erkennungstechnologie, die zum Zeitpunkt des Klickens verwendet wurde, um die Bedrohung zu identifizieren.
IP-Adresse Zeichenfolge Öffentliche IP-Adresse des Geräts, von dem der Benutzer auf den Link geklickt hat.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
IsClickedThrough bool Gibt an, ob der Benutzer auf die ursprüngliche URL klicken konnte oder nicht zulässig war.
NetworkMessageId Zeichenfolge Der eindeutige Bezeichner für die E-Mail, die den geklickten Link enthält, der von Microsoft 365 generiert wird.
ReportId Zeichenfolge Dies ist der eindeutige Bezeichner für ein Click-Ereignis. Beachten Sie, dass die Berichts-ID für Klickszenarien denselben Wert aufweist und daher verwendet werden sollte, um ein Klickereignis zu korrelieren.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
ThreatTypes Zeichenfolge Bewertung zum Zeitpunkt des Klickens, der angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat.
TimeGenerated datetime Das Datum und die Uhrzeit, zu dem der Benutzer auf den Link geklickt hat. Der Wert ist identisch mit TimeGenerated und ist für Die Kompatibilität von Microsoft Defender für Endpunkts-Abfragen vorgesehen.
type Zeichenfolge Der Name der Tabelle.
url Zeichenfolge Die vollständige URL, auf die der Benutzer geklickt hat.
UrlChain Zeichenfolge Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind.
Workload Zeichenfolge Die Anwendung, aus der der Benutzer auf den Link geklickt hat, wobei die Werte "E-Mail", "Office" und "Teams" sind.