Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La UrlClickEvents tabella nello schema di ricerca avanzata contiene informazioni sui collegamenti sicuri dai messaggi di posta elettronica, da Microsoft Teams e dalle app Office 365 nelle app desktop, mobili e Web supportate.
Questa tabella di ricerca avanzata viene popolata da record di Microsoft Defender per Office 365. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati. Per altre informazioni su come distribuire Defender per Office 365 in Defender XDR, vedere Distribuire i servizi supportati.
Per informazioni sulle altre tabelle nello schema per Ricerca avanzata vedere le informazioni di riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui l'utente ha fatto clic sul collegamento |
Url |
string |
URL completo su cui l'utente ha fatto clic |
ActionType |
string |
Indica se il clic è stato consentito o bloccato da Collegamenti sicuri o bloccato a causa di un criterio tenant, ad esempio, dall'elenco Tenant Allow Block |
AccountUpn |
string |
Nome entità utente dell'account che ha fatto clic sul collegamento |
Workload |
string |
Applicazione da cui l'utente ha fatto clic sul collegamento, con i valori Email, Office e Teams |
NetworkMessageId |
string |
Identificatore univoco del messaggio di posta elettronica che contiene il collegamento su cui è stato fatto clic, generato da Microsoft 365 |
ThreatTypes |
string |
Verdetto al momento del clic, che indica se l'URL ha portato a malware, phishing o altre minacce |
DetectionMethods |
string |
Tecnologia di rilevamento usata per identificare la minaccia al momento del clic |
IPAddress |
string |
Indirizzo IP pubblico del dispositivo da cui l'utente ha fatto clic sul collegamento |
IsClickedThrough |
bool |
Indica se l'utente è stato in grado di fare clic sull'URL originale (1) o meno (0) |
UrlChain |
string |
Per gli scenari che coinvolgono reindirizzamenti, include gli URL presenti nella catena di reindirizzamento |
ReportId |
string |
Identificatore univoco per un evento click. Per gli scenari clickthrough, l'ID report avrebbe lo stesso valore e pertanto deve essere usato per correlare un evento click. |
Nota
Per i clic provenienti dalla posta elettronica nelle cartelle Bozze e Posta inviata, i metadati della posta elettronica non sono disponibili o NetworkMessageId vengono assegnati per impostazione predefinita. In questo caso, UrlClickEvents non è possibile creare un join con Email* tabelle come EmailEvents, EmailPostDeliveryEventse altre, usando NetworkMessageId.
È possibile provare questa query di esempio che usa la UrlClickEvents tabella per restituire un elenco di collegamenti in cui un utente è stato autorizzato a procedere:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Articoli correlati
- Supportato Microsoft Defender XDR tipi di evento di streaming nell'API di streaming di eventi
- Ricerca proattiva delle minacce
- Collegamenti sicuri in Microsoft Defender per Office 365
- Eseguire un'azione sui risultati delle query di ricerca avanzate
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.