UrlClickEvents
Les événements impliquant des URL ont fait l’objet d’un clic, d’une sélection ou d’une demande sur Microsoft Defender pour Office 365.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AccountUpn | string | Nom d’utilisateur principal du compte qui a cliqué sur le lien. |
| ActionType | string | Indique si le clic a été autorisé ou bloqué par des « liens fiables » ou bloqué en raison d’une stratégie de locataire, par exemple, dans la liste verte des locataires. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DétectionMethods | string | Technologie de détection utilisée pour identifier la menace au moment du clic. |
| IPAddress | string | Adresse IP publique de l’appareil à partir duquel l’utilisateur a cliqué sur le lien. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| IsClickedThrough | bool | Indique si l’utilisateur a pu cliquer sur l’URL d’origine ou n’a pas été autorisé. |
| NetworkMessageId | string | Identificateur unique de l’e-mail qui contient le lien cliqué, généré par Microsoft 365. |
| ReportId | string | Il s’agit de l’identificateur unique d’un événement click. Notez que pour les scénarios de clic, l’ID de rapport a la même valeur et qu’il doit donc être utilisé pour mettre en corrélation un événement click. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatTypes | string | Verdict au moment du clic, qui indique si l’URL a conduit à des programmes malveillants, des hameçonnages ou d’autres menaces. |
| TimeGenerated | DATETIME | Date et heure auxquelles l’utilisateur a cliqué sur le lien. La valeur est identique à TimeGenerated et destinée à Microsoft Defender pour la compatibilité des requêtes Endpoints. |
| Type | string | Le nom de la table |
| Url | string | URL complète sur laquelle l’utilisateur a cliqué. |
| UrlChain | string | Pour les scénarios impliquant des redirections, elle inclut les URL présentes dans la chaîne de redirection. |
| Charge de travail | string | Application à partir de laquelle l’utilisateur a cliqué sur le lien, les valeurs étant Email, Office et Teams. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour