Compartir vía


UrlClickEvents

Se aplica a:

  • Microsoft Defender XDR

La UrlClickEvents tabla del esquema de búsqueda avanzada contiene información sobre los clics de vínculos seguros de mensajes de correo electrónico, aplicaciones de Microsoft Teams y Office 365 en aplicaciones de escritorio, móviles y web compatibles.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que el usuario ha hecho clic en el vínculo
Url string Dirección URL completa en la que hizo clic el usuario
ActionType string Indica si el clic se ha permitido o bloqueado mediante vínculos seguros o se ha bloqueado debido a una directiva de inquilino, por ejemplo, desde la lista Permitir bloque de inquilinos.
AccountUpn string Nombre principal de usuario de la cuenta en la que se ha hecho clic en el vínculo
Workload string La aplicación desde la que el usuario ha hecho clic en el vínculo, cuyos valores son Correo electrónico, Office y Teams
NetworkMessageId string Identificador único del correo electrónico que contiene el vínculo en el que se ha hecho clic, generado por Microsoft 365
ThreatTypes string Veredicto en el momento de hacer clic, que indica si la dirección URL condujo a malware, phish u otras amenazas
DetectionMethods string Tecnología de detección que se usó para identificar la amenaza en el momento de hacer clic
IPAddress string Dirección IP pública del dispositivo desde el que el usuario ha hecho clic en el vínculo
IsClickedThrough bool Indica si el usuario pudo hacer clic en la dirección URL original (1) o no (0)
UrlChain string En escenarios que implican redireccionamientos, incluye direcciones URL presentes en la cadena de redireccionamiento.
ReportId string Identificador único de un evento de clic. En escenarios de clickthrough, el identificador de informe tendría el mismo valor y, por lo tanto, se debería usar para correlacionar un evento click.

Puede probar esta consulta de ejemplo que usa la UrlClickEvents tabla para devolver una lista de vínculos en los que se permitió a un usuario continuar:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.