Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La UrlClickEvents tabla del esquema de búsqueda avanzada contiene información sobre los clics de vínculos seguros de mensajes de correo electrónico, Microsoft Teams y Office 365 aplicaciones en aplicaciones de escritorio, móviles y web compatibles.
Esta tabla de búsqueda avanzada se rellena mediante registros de Microsoft Defender para Office 365. Si su organización no ha implementado el servicio en Microsoft Defender XDR, las consultas que usan la tabla no funcionarán ni devolverán ningún resultado. Para obtener más información sobre cómo implementar Defender para Office 365 en Defender XDR, consulte Implementación de servicios admitidos.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que el usuario ha hecho clic en el vínculo |
Url |
string |
Dirección URL completa en la que hizo clic el usuario |
ActionType |
string |
Indica si el clic se ha permitido o bloqueado mediante vínculos seguros o se ha bloqueado debido a una directiva de inquilino, por ejemplo, desde la lista Permitir bloque de inquilinos. |
AccountUpn |
string |
Nombre principal de usuario de la cuenta en la que se ha hecho clic en el vínculo |
Workload |
string |
La aplicación desde la que el usuario ha hecho clic en el vínculo, con los valores Email, Office y Teams |
NetworkMessageId |
string |
Identificador único del correo electrónico que contiene el vínculo en el que se ha hecho clic, generado por Microsoft 365 |
ThreatTypes |
string |
Veredicto en el momento de hacer clic, que indica si la dirección URL condujo a malware, phish u otras amenazas |
DetectionMethods |
string |
Tecnología de detección que se usó para identificar la amenaza en el momento de hacer clic |
IPAddress |
string |
Dirección IP pública del dispositivo desde el que el usuario ha hecho clic en el vínculo |
IsClickedThrough |
bool |
Indica si el usuario pudo hacer clic en la dirección URL original (1) o no (0) |
UrlChain |
string |
En escenarios que implican redireccionamientos, incluye direcciones URL presentes en la cadena de redireccionamiento. |
ReportId |
string |
Identificador único de un evento de clic. En escenarios de clickthrough, el identificador de informe tendría el mismo valor y, por lo tanto, se debería usar para correlacionar un evento click. |
Nota:
En el caso de los clics que se originan desde el correo electrónico en las carpetas Borradores y Elementos enviados, los metadatos de correo electrónico no están disponibles o NetworkMessageId se asignan de forma predeterminada. En este caso, UrlClickEvents no se puede combinar con Email* tablas como EmailEvents, EmailPostDeliveryEventsy otras, mediante NetworkMessageId.
Puede probar esta consulta de ejemplo que usa la UrlClickEvents tabla para devolver una lista de vínculos en los que se permitió a un usuario continuar:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artículos relacionados
- Tipos de eventos de streaming de Microsoft Defender XDR admitidos en la API de streaming de eventos
- Búsqueda proactiva de amenazas
- Vínculos seguros en Microsoft Defender para Office 365
- Realizar acciones en los resultados de consultas de búsqueda avanzadas
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.