UrlClickEvents
适用于:
- Microsoft Defender XDR
UrlClickEvents高级搜寻架构中的表包含有关在受支持的桌面、移动和 Web 应用中从电子邮件、Microsoft Teams 和 Office 365 应用中单击的安全链接的信息。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
用户单击链接的日期和时间 |
Url |
string |
用户单击的完整 URL |
ActionType |
string |
指示单击是被安全链接允许或阻止,还是由于租户策略(例如租户允许阻止列表)而被阻止 |
AccountUpn |
string |
用户主体单击链接的帐户的名称 |
Workload |
string |
用户从中单击链接的应用程序,其值为“电子邮件”、“Office”和“Teams” |
NetworkMessageId |
string |
包含由 Microsoft 365 生成的单击链接的电子邮件的唯一标识符 |
ThreatTypes |
string |
单击时的判决,用于判断 URL 是否导致恶意软件、网络钓鱼或其他威胁 |
DetectionMethods |
string |
用于在单击时识别威胁的检测技术 |
IPAddress |
string |
用户从中单击链接的设备的公共 IP 地址 |
IsClickedThrough |
bool |
指示用户是否能够单击到原始 URL (1) (0) |
UrlChain |
string |
对于涉及重定向的方案,它包括重定向链中存在的 URL |
ReportId |
string |
单击事件的唯一标识符。 对于点击方案,报表 ID 将具有相同的值,因此它应该用于关联单击事件。 |
可以尝试此示例查询,该查询使用 UrlClickEvents 表返回允许用户继续操作的链接列表:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
相关文章
- 事件流式处理 API 中支持的 Microsoft Defender XDR 流式处理事件类型
- 主动搜寻威胁
- Microsoft Defender for Office 365 中的安全链接
- 对高级搜寻查询结果执行操作
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。