UrlClickEvents
Gäller för:
- Microsoft Defender XDR
Tabellen UrlClickEvents i det avancerade jaktschemat innehåller information om klick med säkra länkar från e-postmeddelanden, Microsoft Teams och Office 365-appar i skrivbords-, mobil- och webbappar som stöds.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid när användaren klickade på länken |
Url |
string |
Den fullständiga URL:en som användaren klickade på |
ActionType |
string |
Anger om klicket tilläts eller blockerades av säkra länkar eller blockerades på grund av en klientprincip, till exempel från listan Tillåt blockering av klientorganisation |
AccountUpn |
string |
Användarens huvudnamn för kontot som klickade på länken |
Workload |
string |
Programmet från vilket användaren klickade på länken, med värdena e-post, Office och Teams |
NetworkMessageId |
string |
Den unika identifieraren för e-postmeddelandet som innehåller den klickade länken som genereras av Microsoft 365 |
ThreatTypes |
string |
Bedömning vid tidpunkten för klickningen, som anger om URL:en ledde till skadlig kod, nätfiske eller andra hot |
DetectionMethods |
string |
Identifieringsteknik som användes för att identifiera hotet vid tidpunkten för klickningen |
IPAddress |
string |
Offentlig IP-adress för enheten som användaren klickade på länken från |
IsClickedThrough |
bool |
Anger om användaren kunde klicka sig fram till den ursprungliga URL:en (1) eller inte (0) |
UrlChain |
string |
För scenarier med omdirigeringar innehåller den URL:er som finns i omdirigeringskedjan |
ReportId |
string |
Den unika identifieraren för en klickhändelse. För clickthrough-scenarier skulle rapport-ID:t ha samma värde och bör därför användas för att korrelera en klickhändelse. |
Du kan prova den här exempelfrågan som använder UrlClickEvents tabellen för att returnera en lista med länkar där en användare tilläts fortsätta:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Relaterade artiklar
- Microsoft Defender XDR-strömningshändelsetyper som stöds i API för händelseströmning
- Jaga proaktivt efter hot
- Säkra länkar i Microsoft Defender för Office 365
- Vidta åtgärder för avancerade jaktfrågeresultat
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.