UrlClickEvents

Aplica-se a:

  • Microsoft Defender XDR

A UrlClickEvents tabela no esquema de investigação avançada contém informações sobre ligações seguras clicando em mensagens de e-mail, Microsoft Teams e aplicações do Office 365 em aplicações de ambiente de trabalho, dispositivos móveis e Web suportadas.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e hora em que o utilizador clicou na ligação
Url string O URL completo que foi clicado pelo utilizador
ActionType string Indica se o clique foi permitido ou bloqueado por Ligações Seguras ou bloqueado devido a uma política de inquilino, por exemplo, da lista De Bloqueio de Permissão de Inquilino
AccountUpn string Nome Principal de Utilizador da conta que clicou na ligação
Workload string A aplicação a partir da qual o utilizador clicou na ligação, com os valores a serem E-mail, Office e Teams
NetworkMessageId string O identificador exclusivo do e-mail que contém a ligação clicada, gerada pelo Microsoft 365
ThreatTypes string Veredicto no momento do clique, que indica se o URL levou a software maligno, phish ou outras ameaças
DetectionMethods string Tecnologia de deteção utilizada para identificar a ameaça no momento do clique
IPAddress string Endereço IP público do dispositivo a partir do qual o utilizador clicou na ligação
IsClickedThrough bool Indica se o utilizador conseguiu clicar no URL original (1) ou não (0)
UrlChain string Para cenários que envolvem redirecionamentos, inclui URLs presentes na cadeia de redirecionamento
ReportId string O identificador exclusivo de um evento de clique. Para cenários de clickthrough, o ID do relatório teria o mesmo valor e, portanto, deve ser utilizado para correlacionar um evento de clique.

Pode experimentar esta consulta de exemplo que utiliza a UrlClickEvents tabela para devolver uma lista de ligações nas quais um utilizador foi autorizado a continuar:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.