共用方式為


UrlClickEvents

適用於:

  • Microsoft Defender XDR

進階搜捕架構中的表格 UrlClickEvents 包含來自電子郵件訊息、Microsoft Teams,以及支援桌面、行動裝置和 Web 應用程式中 Office 365 應用程式 的安全連結 點選資訊。

如需進階搜捕結構描述中其他表格的資訊,請參閱 進階搜捕參考 (部分內容為機器翻譯)。

資料行名稱 資料類型 描述
Timestamp datetime 用戶按兩下連結的日期和時間
Url string 用戶按兩下的完整網址
ActionType string 指出安全連結允許或封鎖按兩下是因為租用戶原則而封鎖,例如,從租使用者允許封鎖清單
AccountUpn string 按兩下連結之帳戶的用戶主體名稱
Workload string 使用者從中按兩下連結的應用程式,其值為 Email、Office 和 Teams
NetworkMessageId string 包含已點選連結的電子郵件唯一標識符,由 Microsoft 365 產生
ThreatTypes string 按兩下時的決策,指出URL是否導致惡意代碼、網路釣魚或其他威脅
DetectionMethods string 按兩下時用來識別威脅的偵測技術
IPAddress string 用戶單擊連結之裝置的公用IP位址
IsClickedThrough bool 指出使用者是否能夠單擊原始 URL (1) 或 (0)
UrlChain string 針對涉及重新導向的案例,其中包含重新導向鏈結中的URL
ReportId string Click 事件的唯一標識碼。 對於點擊連結案例,報表標識碼會有相同的值,因此應該用來使 Click 事件相互關聯。

您可以嘗試此範例查詢,以使用資料 UrlClickEvents 表傳回允許使用者繼續執行的連結清單:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群