UrlClickEvents
Se aplica a:
- Microsoft Defender XDR
La UrlClickEvents tabla del esquema de búsqueda avanzada contiene información sobre los clics de vínculos seguros de mensajes de correo electrónico, aplicaciones de Microsoft Teams y Office 365 en aplicaciones de escritorio, móviles y web compatibles.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que el usuario ha hecho clic en el vínculo |
Url |
string |
Dirección URL completa en la que hizo clic el usuario |
ActionType |
string |
Indica si el clic se ha permitido o bloqueado mediante vínculos seguros o se ha bloqueado debido a una directiva de inquilino, por ejemplo, desde la lista Permitir bloque de inquilinos. |
AccountUpn |
string |
Nombre principal de usuario de la cuenta en la que se ha hecho clic en el vínculo |
Workload |
string |
La aplicación desde la que el usuario ha hecho clic en el vínculo, cuyos valores son Correo electrónico, Office y Teams |
NetworkMessageId |
string |
Identificador único del correo electrónico que contiene el vínculo en el que se ha hecho clic, generado por Microsoft 365 |
ThreatTypes |
string |
Veredicto en el momento de hacer clic, que indica si la dirección URL condujo a malware, phish u otras amenazas |
DetectionMethods |
string |
Tecnología de detección que se usó para identificar la amenaza en el momento de hacer clic |
IPAddress |
string |
Dirección IP pública del dispositivo desde el que el usuario ha hecho clic en el vínculo |
IsClickedThrough |
bool |
Indica si el usuario pudo hacer clic en la dirección URL original (1) o no (0) |
UrlChain |
string |
En escenarios que implican redireccionamientos, incluye direcciones URL presentes en la cadena de redireccionamiento. |
ReportId |
string |
Identificador único de un evento de clic. En escenarios de clickthrough, el identificador de informe tendría el mismo valor y, por lo tanto, se debería usar para correlacionar un evento click. |
Puede probar esta consulta de ejemplo que usa la UrlClickEvents tabla para devolver una lista de vínculos en los que se permitió a un usuario continuar:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artículos relacionados
- Tipos de eventos de streaming XDR de Microsoft Defender admitidos en la API de streaming de eventos
- Búsqueda proactiva de amenazas
- Vínculos seguros en Microsoft Defender para Office 365
- Realizar acciones en los resultados de consultas de búsqueda avanzadas
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.