UrlClickEvents
Se aplica a:
- Microsoft Defender XDR
La UrlClickEvents
tabla del esquema de búsqueda avanzada contiene información sobre los clics de vínculos seguros de mensajes de correo electrónico, Microsoft Teams y Office 365 aplicaciones en aplicaciones de escritorio, móviles y web compatibles.
Importante
Esta tabla está actualmente en versión preliminar pública. Parte de la información está relacionada con una característica preliminar que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
Nombre de columna | Tipo de datos | Descripción |
---|---|---|
Timestamp |
datetime |
Fecha y hora en que el usuario ha hecho clic en el vínculo |
Url |
string |
Dirección URL completa en la que hizo clic el usuario |
ActionType |
string |
Indica si el clic se ha permitido o bloqueado mediante vínculos seguros o se ha bloqueado debido a una directiva de inquilino, por ejemplo, desde la lista Permitir bloque de inquilinos. |
AccountUpn |
string |
Nombre principal de usuario de la cuenta en la que se ha hecho clic en el vínculo |
Workload |
string |
La aplicación desde la que el usuario ha hecho clic en el vínculo, con los valores Email, Office y Teams |
NetworkMessageId |
string |
Identificador único del correo electrónico que contiene el vínculo en el que se ha hecho clic, generado por Microsoft 365 |
ThreatTypes |
string |
Veredicto en el momento de hacer clic, que indica si la dirección URL condujo a malware, phish u otras amenazas |
DetectionMethods |
string |
Tecnología de detección que se usó para identificar la amenaza en el momento de hacer clic |
IPAddress |
string |
Dirección IP pública del dispositivo desde el que el usuario ha hecho clic en el vínculo |
IsClickedThrough |
bool |
Indica si el usuario pudo hacer clic en la dirección URL original (1) o no (0) |
UrlChain |
string |
En escenarios que implican redireccionamientos, incluye direcciones URL presentes en la cadena de redireccionamiento. |
ReportId |
string |
Identificador único de un evento de clic. En escenarios de clickthrough, el identificador de informe tendría el mismo valor y, por lo tanto, se debería usar para correlacionar un evento click. |
Puede probar esta consulta de ejemplo que usa la UrlClickEvents
tabla para devolver una lista de vínculos en los que se permitió a un usuario continuar:
// Search for malicious links where user was allowed to proceed through
UrlClickEvents
| where ActionType == "ClickAllowed" or IsClickedThrough !="0"
| where ThreatTypes has "Phish"
| summarize by ReportId, IsClickedThrough, AccountUpn, NetworkMessageId, ThreatTypes, Timestamp
Artículos relacionados
- Tipos de eventos de streaming de Microsoft Defender XDR admitidos en la API de streaming de eventos
- Búsqueda proactiva de amenazas
- Vínculos seguros en Microsoft Defender para Office 365
- Realizar acciones en los resultados de consultas de búsqueda avanzadas
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de