利用 UrlClickEvents 深入研究网络钓鱼活动
在 Microsoft 365 Defender 中发现了一个新的高级搜索表:UrlClickEvents
图 1 – UrlClickEvents 表
在撰写本文时,此表尚未出现在每个 Office 365 租户中,官方文档中也不包含有关它的信息。快速查看它包含的事件表明,它记录了用户从 Office 应用程序(例如 Outlook 和 Teams)单击的 URL。它还记录了安全链接是否允许或阻止了单击,以及用户是否单击了潜在警告页面(如果在安全链接中配置了此设置)。
表格格式如下:
-
Timestamp:用户点击链接的时间戳;
-
Url:用户点击的URL;
-
ActionType:表示该点击是否被安全链接允许(观察到的值:ClickAllowed、ClickBlocked、UrlErrorPage、ClickBlockedByTenantPolicy);
-
AccountUpn:点击链接的账户的用户主体名称;
-
工作负载:用户点击链接的应用程序(观察到的值:电子邮件、Office、团队)&#