UrlClickEvents
Koskee seuraavia:
- Microsoft Defender XDR
UrlClickEvents Kehittyneen metsästysrakenteen taulukko sisältää tietoja turvallisten linkkien napsautuksista sähköpostiviesteistä, Microsoft Teamsista ja Office 365 -sovelluksista tuetuissa työpöytä-, mobiili- ja verkkosovelluksissa.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin käyttäjä napsautti linkkiä |
Url |
string |
Täydellinen URL-osoite, jota käyttäjä napsautti |
ActionType |
string |
Ilmaisee, salliko tai estikö turvalliset linkit napsautuksen vai estikö se vuokraajakäytännön vuoksi, esimerkiksi vuokraajan Salli esto -luettelosta |
AccountUpn |
string |
Linkin napsauttaneen tilin täydellinen nimi |
Workload |
string |
Sovellus, josta käyttäjä napsautti linkkiä ja jonka arvot ovat Sähköposti, Office ja Teams |
NetworkMessageId |
string |
Yksilöivä tunniste sähköpostiviestille, joka sisältää napsautetun linkin, jonka Microsoft 365 on luonut |
ThreatTypes |
string |
Tuomio napsautushetkellä, joka kertoo, johtiko URL-osoite haittaohjelmistoon, tietojenkalasteluun tai muihin uhkiin |
DetectionMethods |
string |
Tunnistustekniikka, jota käytettiin uhan tunnistamiseen napsautushetkellä |
IPAddress |
string |
Sen laitteen julkinen IP-osoite, josta käyttäjä napsautti linkkiä |
IsClickedThrough |
bool |
Ilmaisee, pystyikö käyttäjä napsauttamaan alkuperäistä URL-osoitetta (1) vai ei (0) |
UrlChain |
string |
Uudelleenohjausskenaarioita käytettäessä se sisältää uudelleenohjausketjussa olevat URL-osoitteet |
ReportId |
string |
Napsautustapahtuman yksilöllinen tunnus. Napsautustilanteissa raporttitunnuksella olisi sama arvo, joten sitä tulisi käyttää napsautustapahtuman korreloimiseen. |
Voit kokeilla tätä esimerkkikyselyä, joka käyttää taulukkoa UrlClickEvents palauttamaan linkkiluettelon, jossa käyttäjällä oli oikeus jatkaa:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Aiheeseen liittyviä artikkeleita
- Tuetut Microsoft Defenderin XDR-suoratoiston tapahtumatyypit tapahtumien suoratoiston ohjelmointirajapinnassa
- Uhkien ennakoiva metsästys
- Turvalliset linkit Microsoft Defender for Office 365:ssä
- Kehittyneen metsästyksen kyselytulosten suorittaminen
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.