UrlClickEvents

Gilt für:

  • Microsoft Defender XDR

Die UrlClickEvents Tabelle im Schema für die erweiterte Suche enthält Informationen zu Klicks auf sichere Links aus E-Mail-Nachrichten, Microsoft Teams und Office 365-Apps in unterstützten Desktop-, Mobil- und Web-Apps.

Informationen zu anderen Tabellen im Schema „Erweiterte Suche“ finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit, zu dem der Benutzer auf den Link geklickt hat
Url string Die vollständige URL, auf die der Benutzer geklickt hat.
ActionType string Gibt an, ob der Klick von sicheren Links zugelassen oder blockiert wurde oder aufgrund einer Mandantenrichtlinie blockiert wurde, z. B. aus der Liste "Mandantenzugelassene Sperren".
AccountUpn string Benutzerprinzipalname des Kontos, das auf den Link geklickt hat
Workload string Die Anwendung, von der aus der Benutzer auf den Link geklickt hat, wobei die Werte E-Mail, Office und Teams sind.
NetworkMessageId string Der eindeutige Bezeichner für die E-Mail, die den von Microsoft 365 generierten Link enthält, auf den geklickt wurde
ThreatTypes string Urteil zum Zeitpunkt des Klickens, das angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat
DetectionMethods string Erkennungstechnologie, die zum Identifizieren der Bedrohung zum Zeitpunkt des Klickens verwendet wurde
IPAddress string Öffentliche IP-Adresse des Geräts, von dem aus der Benutzer auf den Link geklickt hat
IsClickedThrough bool Gibt an, ob der Benutzer bis zur ursprünglichen URL (1) klicken konnte oder nicht (0)
UrlChain string Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind.
ReportId string Der eindeutige Bezeichner für ein Klickereignis. Bei Durchklickszenarien hat die Berichts-ID denselben Wert und sollte daher zum Korrelieren eines Klickereignisses verwendet werden.

Sie können diese Beispielabfrage ausprobieren, die die UrlClickEvents Tabelle verwendet, um eine Liste von Links zurückzugeben, bei denen ein Benutzer den Vorgang fortsetzen durfte:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.