UrlClickEvents
適用対象:
- Microsoft Defender XDR
UrlClickEvents
高度なハンティング スキーマの表には、サポートされているデスクトップ、モバイル、Web アプリの電子メール メッセージ、Microsoft Teams、Office 365 アプリからの安全なリンクのクリックに関する情報が含まれています。
重要
このテーブルは現在パブリック プレビュー段階です。 一部の情報は、リリース前の機能に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
列名 | データ型 | 説明 |
---|---|---|
Timestamp |
datetime |
ユーザーがリンクをクリックした日時 |
Url |
string |
ユーザーがクリックした完全な URL |
ActionType |
string |
クリックが安全なリンクによって許可されたかブロックされたか、テナント ポリシーが原因でブロックされたかを示します (たとえば、[テナント許可ブロック] リストから) |
AccountUpn |
string |
リンクをクリックしたアカウントのユーザー プリンシパル名 |
Workload |
string |
ユーザーがリンクをクリックしたアプリケーションで、値が Email、Office、および Teams である |
NetworkMessageId |
string |
Microsoft 365 によって生成されたクリックされたリンクを含む電子メールの一意識別子 |
ThreatTypes |
string |
クリック時の判定。URL がマルウェア、フィッシング、またはその他の脅威につながったかどうかを示します |
DetectionMethods |
string |
クリック時の脅威を特定するために使用された検出テクノロジ |
IPAddress |
string |
ユーザーがリンクをクリックしたデバイスのパブリック IP アドレス |
IsClickedThrough |
bool |
ユーザーが元の URL (1) をクリックできたかどうかを示します (0) |
UrlChain |
string |
リダイレクトに関連するシナリオでは、リダイレクト チェーンに存在する URL が含まれます |
ReportId |
string |
クリック イベントの一意識別子。 クリックスルーシナリオの場合、レポート ID の値は同じであるため、クリック イベントを関連付けるために使用する必要があります。 |
テーブルを使用 UrlClickEvents
して、ユーザーが続行を許可されたリンクの一覧を返すこのクエリ例を試すことができます。
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
関連記事
- イベント ストリーミング API でサポートされているMicrosoft Defender XDRストリーミング イベントの種類
- 積極的に脅威を捜索する
- Microsoft Defender for Office 365 の安全なリンク
- 高度なハンティング クエリ結果に対してアクションを実行する
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示