استعلامات لجدول EmailAttachmentInfo

للحصول على معلومات حول استخدام هذه الاستعلامات في مدخل Microsoft Azure، راجع البرنامج التعليمي Log Analytics. للحصول على واجهة برمجة تطبيقات REST، راجع الاستعلام.

ملفات من مرسل ضار

البحث عن المظهر الأول للملفات المرسلة من قبل مرسل ضار في مؤسستك في إطار زمني محدد. لمشاهدة المظاهر السابقة، يرجى زيادة النطاق الزمني المحدد.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

رسائل البريد الإلكتروني إلى المجالات الخارجية مع مرفقات

رسائل البريد الإلكتروني المرسلة إلى مجال خارجي تتضمن مرفقات.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000