利用 UrlClickEvents 深入研究网络钓鱼活动

在 Microsoft 365 Defender 中发现了一个新的高级搜索表：UrlClickEvents

图 1 – UrlClickEvents 表

在撰写本文时，此表尚未出现在每个 Office 365 租户中，官方文档中也不包含有关它的信息。快速查看它包含的事件表明，它记录了用户从 Office 应用程序（例如 Outlook 和 Teams）单击的 URL。它还记录了安全链接是否允许或阻止了单击，以及用户是否单击了潜在警告页面（如果在安全链接中配置了此设置）。

表格格式如下：

• Timestamp：用户点击链接的时间戳；

• Url：用户点击的URL；

• ActionType：表示该点击是否被安全链接允许（观察到的值：ClickAllowed、ClickBlocked、UrlErrorPage、ClickBlockedByTenantPolicy）；

• AccountUpn：点击链接的账户的用户主体名称；

• 工作负载：用户点击链接的应用程序（观察到的值：电子邮件、Office、团队）&#