UrlClickEvents
Aplica-se a:
- Microsoft Defender XDR
A UrlClickEvents
tabela no esquema de investigação avançada contém informações sobre ligações seguras clicando em mensagens de e-mail, Microsoft Teams e aplicações do Office 365 em aplicações de ambiente de trabalho, dispositivos móveis e Web suportadas.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e hora em que o utilizador clicou na ligação |
Url |
string |
O URL completo que foi clicado pelo utilizador |
ActionType |
string |
Indica se o clique foi permitido ou bloqueado por Ligações Seguras ou bloqueado devido a uma política de inquilino, por exemplo, da lista De Bloqueio de Permissão de Inquilino |
AccountUpn |
string |
Nome Principal de Utilizador da conta que clicou na ligação |
Workload |
string |
A aplicação a partir da qual o utilizador clicou na ligação, com os valores a serem E-mail, Office e Teams |
NetworkMessageId |
string |
O identificador exclusivo do e-mail que contém a ligação clicada, gerada pelo Microsoft 365 |
ThreatTypes |
string |
Veredicto no momento do clique, que indica se o URL levou a software maligno, phish ou outras ameaças |
DetectionMethods |
string |
Tecnologia de deteção utilizada para identificar a ameaça no momento do clique |
IPAddress |
string |
Endereço IP público do dispositivo a partir do qual o utilizador clicou na ligação |
IsClickedThrough |
bool |
Indica se o utilizador conseguiu clicar no URL original (1) ou não (0) |
UrlChain |
string |
Para cenários que envolvem redirecionamentos, inclui URLs presentes na cadeia de redirecionamento |
ReportId |
string |
O identificador exclusivo de um evento de clique. Para cenários de clickthrough, o ID do relatório teria o mesmo valor e, portanto, deve ser utilizado para correlacionar um evento de clique. |
Pode experimentar esta consulta de exemplo que utiliza a UrlClickEvents
tabela para devolver uma lista de ligações nas quais um utilizador foi autorizado a continuar:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artigos relacionados
- Tipos de eventos de transmissão em fluxo XDR do Microsoft Defender suportados na API de transmissão em fluxo de eventos
- Proativamente investigar ameaças
- Ligações Seguras no Microsoft Defender para Office 365
- Tomar medidas sobre os resultados avançados da consulta de investigação
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.