UrlClickEvents
Van toepassing op:
- Microsoft Defender XDR
De UrlClickEvents tabel in het geavanceerde opsporingsschema bevat informatie over klikken op veilige koppelingen vanuit e-mailberichten, Microsoft Teams en Office 365-apps in ondersteunde desktop-, mobiele en web-apps.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
De datum en tijd waarop de gebruiker op de koppeling heeft geklikt |
Url |
string |
De volledige URL waarop de gebruiker heeft geklikt |
ActionType |
string |
Geeft aan of de klik is toegestaan of geblokkeerd door veilige koppelingen of geblokkeerd vanwege een tenantbeleid, bijvoorbeeld in de lijst Tenant toestaan blokkeren |
AccountUpn |
string |
User Principal Name van het account dat op de koppeling heeft geklikt |
Workload |
string |
De toepassing van waaruit de gebruiker op de koppeling heeft geklikt, met de waarden e-mail, Office en Teams |
NetworkMessageId |
string |
De unieke id voor het e-mailbericht met de geklikte koppeling, gegenereerd door Microsoft 365 |
ThreatTypes |
string |
Oordeel op het moment van klikken, waarmee wordt aangegeven of de URL heeft geleid tot malware, phish of andere bedreigingen |
DetectionMethods |
string |
Detectietechnologie die werd gebruikt om de bedreiging te identificeren op het moment van klikken |
IPAddress |
string |
Openbaar IP-adres van het apparaat waarop de gebruiker op de koppeling heeft geklikt |
IsClickedThrough |
bool |
Geeft aan of de gebruiker kon doorklikken naar de oorspronkelijke URL (1) of niet (0) |
UrlChain |
string |
Voor scenario's met omleidingen bevat het URL's die aanwezig zijn in de omleidingsketen |
ReportId |
string |
De unieke id voor een klik-gebeurtenis. Voor clickthrough-scenario's heeft de rapport-id dezelfde waarde en moet deze daarom worden gebruikt om een klik-gebeurtenis te correleren. |
U kunt deze voorbeeldquery proberen die gebruikmaakt van de UrlClickEvents tabel om een lijst met koppelingen te retourneren waarvoor een gebruiker mag doorgaan:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Verwante artikelen
- Ondersteunde Microsoft Defender XDR-streaming-gebeurtenistypen in gebeurtenisstreaming-API
- Proactief zoeken naar bedreigingen
- Veilige koppelingen in Microsoft Defender voor Office 365
- Actie ondernemen bij geavanceerde opsporingsqueryresultaten
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.