Partilhar via


UrlClickEvents

A UrlClickEvents tabela no esquema de investigação avançada contém informações sobre ligações seguras clicando em mensagens de e-mail, Microsoft Teams e aplicações Office 365 em aplicações de ambiente de trabalho, dispositivos móveis e Web suportadas.

Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para Office 365. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar Defender para Office 365 no Defender XDR, leia Implementar serviços suportados.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e hora em que o utilizador clicou na ligação
Url string O URL completo que foi clicado pelo utilizador
ActionType string Indica se o clique foi permitido ou bloqueado por Ligações Seguras ou bloqueado devido a uma política de inquilino, por exemplo, da lista De Bloqueio de Permissão de Inquilino
AccountUpn string Nome Principal de Utilizador da conta que clicou na ligação
Workload string A aplicação a partir da qual o utilizador clicou na ligação, com os valores a serem Email, Office e Teams
NetworkMessageId string O identificador exclusivo do e-mail que contém a ligação clicada, gerada pelo Microsoft 365
ThreatTypes string Veredicto no momento do clique, que indica se o URL levou a software maligno, phish ou outras ameaças
DetectionMethods string Tecnologia de deteção utilizada para identificar a ameaça no momento do clique
IPAddress string Endereço IP público do dispositivo a partir do qual o utilizador clicou na ligação
IsClickedThrough bool Indica se o utilizador conseguiu clicar no URL original (1) ou não (0)
UrlChain string Para cenários que envolvem redirecionamentos, inclui URLs presentes na cadeia de redirecionamento
ReportId string O identificador exclusivo de um evento de clique. Para cenários de clickthrough, o ID do relatório teria o mesmo valor e, portanto, deve ser utilizado para correlacionar um evento de clique.

Nota

Para cliques provenientes do e-mail nas pastas Rascunhos e Itens Enviados, os metadados de e-mail não estão disponíveis ou NetworkMessageId estão atribuídos por predefinição. Neste caso, UrlClickEvents não é possível associar Email* tabelas como EmailEvents, EmailPostDeliveryEventse outras, com NetworkMessageId.

Pode experimentar esta consulta de exemplo que utiliza a UrlClickEvents tabela para devolver uma lista de ligações nas quais um utilizador foi autorizado a continuar:

// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.