次の方法で共有

UrlClickEvents

  • 適用対象: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

高度なハンティング スキーマのUrlClickEventsテーブルには、サポートされているデスクトップ、モバイル、Web アプリの電子メール メッセージ、Microsoft Teams、Office 365 アプリからの安全なリンクのクリックに関する情報が含まれています。

この高度なハンティング テーブルは、Microsoft Defender for Office 365のレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRでDefender for Office 365をデプロイする方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime ユーザーがリンクをクリックした日時
Url string ユーザーがクリックした完全な URL
ActionType string クリックが安全なリンクによって許可されたかブロックされたか、テナント ポリシーが原因でブロックされたかを示します (たとえば、[テナント許可ブロック] リストから)
AccountUpn string リンクをクリックしたアカウントのユーザー プリンシパル名
Workload string ユーザーがリンクをクリックしたアプリケーションで、値が Email、Office、および Teams である
NetworkMessageId string Microsoft 365 によって生成されたクリックされたリンクを含む電子メールの一意識別子
ThreatTypes string クリック時の判定。URL がマルウェア、フィッシング、またはその他の脅威につながったかどうかを示します
DetectionMethods string クリック時の脅威を特定するために使用された検出テクノロジ
IPAddress string ユーザーがリンクをクリックしたデバイスのパブリック IP アドレス
IsClickedThrough bool ユーザーが元の URL (1) をクリックできたかどうかを示します (0)
UrlChain string リダイレクトに関連するシナリオでは、リダイレクト チェーンに存在する URL が含まれます
ReportId string クリック イベントの一意識別子。 クリックスルーシナリオの場合、レポート ID の値は同じであるため、クリック イベントを関連付けるために使用する必要があります。

注:

下書きフォルダーと送信済みアイテム フォルダーの電子メールからのクリックの場合、電子メール メタデータは使用できないか、既定で割り当てられている NetworkMessageId 。 この場合、UrlClickEventsは、NetworkMessageIdを使用して、EmailEventsEmailPostDeliveryEventsなどのEmail* テーブルと結合できません。

UrlClickEvents テーブルを使用して、ユーザーが続行を許可されたリンクの一覧を返すこのクエリ例を試すことができます。

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。