UrlClickEvents
Aplica-se a:
- Microsoft Defender XDR
A UrlClickEvents tabela no esquema avançado de caça contém informações sobre links seguros cliques de mensagens de email, Microsoft Teams e aplicativos Office 365 em aplicativos web, móveis e desktop com suporte.
Importante
Esta tabela está atualmente em versão prévia pública. Algumas informações estão relacionadas a um recurso pré-relacionado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e hora em que o usuário clicou no link |
Url |
string |
A URL completa clicada pelo usuário |
ActionType |
string |
Indica se o clique foi permitido ou bloqueado por Links Seguros ou bloqueado devido a uma política de locatário, por exemplo, da lista Bloquear Permissão de Locatário |
AccountUpn |
string |
Nome da entidade de usuário da conta que clicou no link |
Workload |
string |
O aplicativo do qual o usuário clicou no link, com os valores sendo Email, Office e Teams |
NetworkMessageId |
string |
O identificador exclusivo do email que contém o link clicado, gerado pelo Microsoft 365 |
ThreatTypes |
string |
Veredicto no momento do clique, que informa se a URL levou a malware, phish ou outras ameaças |
DetectionMethods |
string |
Tecnologia de detecção usada para identificar a ameaça no momento do clique |
IPAddress |
string |
Endereço IP público do dispositivo do qual o usuário clicou no link |
IsClickedThrough |
bool |
Indica se o usuário foi capaz de clicar na URL original (1) ou não (0) |
UrlChain |
string |
Para cenários que envolvem redirecionamentos, ele inclui URLs presentes na cadeia de redirecionamento |
ReportId |
string |
O identificador exclusivo para um evento de clique. Para cenários de clickthrough, a ID do relatório teria o mesmo valor e, portanto, ela deve ser usada para correlacionar um evento de clique. |
Você pode experimentar esta consulta de exemplo que usa a UrlClickEvents tabela para retornar uma lista de links em que um usuário foi autorizado a prosseguir:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artigos relacionados
- Tipos de eventos de streaming de Microsoft Defender XDR com suporte na API de streaming de eventos
- Buscar proativamente por ameaças
- Links seguros no Microsoft Defender para Office 365
- Tomar medidas sobre resultados avançados de consulta de caça
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de