UrlClickEvents
Van toepassing op:
- Microsoft Defender XDR
De UrlClickEvents tabel in het geavanceerde opsporingsschema bevat informatie over klikken op veilige koppelingen vanuit e-mailberichten, Microsoft Teams en Office 365 apps in ondersteunde desktop-, mobiele en web-apps.
Belangrijk
Deze tabel is momenteel in openbare preview. Sommige informatie heeft betrekking op een vooraf uitgebrachte functie die aanzienlijk kan worden gewijzigd voordat deze commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
De datum en tijd waarop de gebruiker op de koppeling heeft geklikt |
Url |
string |
De volledige URL waarop de gebruiker heeft geklikt |
ActionType |
string |
Geeft aan of de klik is toegestaan of geblokkeerd door veilige koppelingen of geblokkeerd vanwege een tenantbeleid, bijvoorbeeld in de lijst Tenant toestaan blokkeren |
AccountUpn |
string |
User Principal Name van het account dat op de koppeling heeft geklikt |
Workload |
string |
De toepassing van waaruit de gebruiker op de koppeling heeft geklikt, waarbij de waarden worden Email, Office en Teams |
NetworkMessageId |
string |
De unieke id voor het e-mailbericht met de geklikte koppeling, gegenereerd door Microsoft 365 |
ThreatTypes |
string |
Oordeel op het moment van klikken, waarmee wordt aangegeven of de URL heeft geleid tot malware, phish of andere bedreigingen |
DetectionMethods |
string |
Detectietechnologie die werd gebruikt om de bedreiging te identificeren op het moment van klikken |
IPAddress |
string |
Openbaar IP-adres van het apparaat waarop de gebruiker op de koppeling heeft geklikt |
IsClickedThrough |
bool |
Geeft aan of de gebruiker kon doorklikken naar de oorspronkelijke URL (1) of niet (0) |
UrlChain |
string |
Voor scenario's met omleidingen bevat het URL's die aanwezig zijn in de omleidingsketen |
ReportId |
string |
De unieke id voor een klik-gebeurtenis. Voor clickthrough-scenario's heeft de rapport-id dezelfde waarde en moet deze daarom worden gebruikt om een klik-gebeurtenis te correleren. |
U kunt deze voorbeeldquery proberen die gebruikmaakt van de UrlClickEvents tabel om een lijst met koppelingen te retourneren waarvoor een gebruiker mag doorgaan:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Verwante artikelen
- Ondersteunde Microsoft Defender XDR typen streaming-gebeurtenissen in gebeurtenisstreaming-API
- Proactief zoeken naar bedreigingen
- Veilige koppelingen in Microsoft Defender voor Office 365
- Actie ondernemen bij geavanceerde opsporingsqueryresultaten
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor