Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A UrlClickEvents tabela no esquema de investigação avançada contém informações sobre ligações seguras clicando em mensagens de e-mail, Microsoft Teams e aplicações Office 365 em aplicações de ambiente de trabalho, dispositivos móveis e Web suportadas.
Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para Office 365. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar Defender para Office 365 no Defender XDR, leia Implementar serviços suportados.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e hora em que o utilizador clicou na ligação |
Url |
string |
O URL completo que foi clicado pelo utilizador |
ActionType |
string |
Indica se o clique foi permitido ou bloqueado por Ligações Seguras ou bloqueado devido a uma política de inquilino, por exemplo, da lista De Bloqueio de Permissão de Inquilino |
AccountUpn |
string |
Nome Principal de Utilizador da conta que clicou na ligação |
Workload |
string |
A aplicação a partir da qual o utilizador clicou na ligação, com os valores a serem Email, Office e Teams |
NetworkMessageId |
string |
O identificador exclusivo do e-mail que contém a ligação clicada, gerada pelo Microsoft 365 |
ThreatTypes |
string |
Veredicto no momento do clique, que indica se o URL levou a software maligno, phish ou outras ameaças |
DetectionMethods |
string |
Tecnologia de deteção utilizada para identificar a ameaça no momento do clique |
IPAddress |
string |
Endereço IP público do dispositivo a partir do qual o utilizador clicou na ligação |
IsClickedThrough |
bool |
Indica se o utilizador conseguiu clicar no URL original (1) ou não (0) |
UrlChain |
string |
Para cenários que envolvem redirecionamentos, inclui URLs presentes na cadeia de redirecionamento |
ReportId |
string |
O identificador exclusivo de um evento de clique. Para cenários de clickthrough, o ID do relatório teria o mesmo valor e, portanto, deve ser utilizado para correlacionar um evento de clique. |
Nota
Para cliques provenientes do e-mail nas pastas Rascunhos e Itens Enviados, os metadados de e-mail não estão disponíveis ou NetworkMessageId estão atribuídos por predefinição. Neste caso, UrlClickEvents não é possível associar Email* tabelas como EmailEvents, EmailPostDeliveryEventse outras, com NetworkMessageId.
Pode experimentar esta consulta de exemplo que utiliza a UrlClickEvents tabela para devolver uma lista de ligações nas quais um utilizador foi autorizado a continuar:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artigos relacionados
- Suportados Microsoft Defender XDR tipos de eventos de transmissão em fluxo na API de transmissão em fluxo de eventos
- Proativamente investigar ameaças
- Ligações Seguras no Microsoft Defender para Office 365
- Tomar medidas sobre os resultados avançados da consulta de investigação
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.