Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ereignisse im Zusammenhang mit URLs, auf die in Microsoft Defender für Office 365 geklickt, ausgewählt oder angefordert wurde.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Ingestionszeittransformation | Ja |
| Beispielabfragen | Ja |
Spalten
| Kolumne | Typ | Beschreibung |
|---|---|---|
| AccountUpn | Schnur | Benutzerprinzipalname des Kontos, das auf den Link geklickt hat. |
| Aktionsart | Schnur | Gibt an, ob der Klick durch „sichere Links“ zugelassen oder blockiert wurde, weil eine Mandantenrichtlinie z. B. aus der Liste zugelassener Mandantensperren stammt. |
| AppName | Schnur | Der Anzeigename der Anwendung, wie sie vom zugehörigen Dienstprinzipal verfügbar gemacht wird. |
| AppVersion | Schnur | Version der Clientanwendung, auf die geklickt wurde |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Erkennungsmethoden | Schnur | Erkennungstechnologie, die zum Zeitpunkt des Klickens verwendet wurde, um die Bedrohung zu identifizieren. |
| IP-Adresse | Schnur | Öffentliche IP-Adresse des Geräts, von dem der Benutzer auf den Link geklickt hat. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob die Aufnahme der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsClickedThrough | Boolesch | Gibt an, ob der Benutzer auf die ursprüngliche URL klicken konnte oder nicht zulässig war. |
| NetworkMessageId | Schnur | Der eindeutige Bezeichner für die E-Mail, die den geklickten Link enthält, der von Microsoft 365 generiert wird. |
| ReportId | Schnur | Dies ist der eindeutige Bezeichner für ein Click-Ereignis. Beachten Sie, dass bei Klickthrough-Szenarios die Berichts-ID denselben Wert aufweist. Daher sollte sie verwendet werden, um ein Klickereignis zu korrelieren. |
| SourceId | Schnur | Eindeutiger Bezeichner für die Quelle des Klickens |
| SourceSystem | Schnur | Der Typ des Agenten, durch den das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungstypen | Schnur | Bewertung zum Zeitpunkt des Klickens, der angibt, ob die URL zu Schadsoftware, Phishing oder anderen Bedrohungen geführt hat. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Das Datum und die Uhrzeit, zu dem der Benutzer auf den Link geklickt hat. Der Wert ist identisch mit TimeGenerated und ist für die Kompatibilität von Microsoft Defender für Abfragen von Endpunkten vorgesehen. |
| Typ | Schnur | Der Name der Tabelle. |
| URL | Schnur | Die vollständige URL, auf die der Benutzer geklickt hat. |
| UrlChain | Schnur | Für Szenarien mit Umleitungen enthält sie URLs, die in der Umleitungskette vorhanden sind. |
| Arbeitsbelastung | Schnur | Die Anwendung, aus der der Benutzer auf den Link geklickt hat, wobei die Werte "E-Mail", "Office" und "Teams" sind. |