EmailEvents
Gælder for:
- Microsoft Defender XDR
Tabellen EmailEvents i det avancerede jagtskema indeholder oplysninger om hændelser, der involverer behandling af mails på Microsoft Defender for Office 365. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Tip
Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
NetworkMessageId |
string |
Entydigt id for mailen, der genereres af Microsoft 365 |
InternetMessageId |
string |
Offentlig identifikator for den mail, der er angivet af det sendende mailsystem |
SenderMailFromAddress |
string |
Afsendermailadresse i headeren MAIL FROM, også kendt som afsenderkonvolutten eller den Return-Path adresse |
SenderFromAddress |
string |
Afsendermailadresse i overskriften FROM, som er synlig for mailmodtagere på deres mailklienter |
SenderDisplayName |
string |
Navnet på den afsender, der vises i adressekartoteket, typisk en kombination af et givet eller fornavn, et mellemnavn og et efternavn eller efternavn |
SenderObjectId |
string |
Entydigt id for afsenderens konto i Microsoft Entra ID |
SenderMailFromDomain |
string |
Afsenderdomæne i headeren MAIL FROM, også kendt som afsenderkonvolutten eller den Return-Path adresse |
SenderFromDomain |
string |
Afsenderdomæne i FROM-headeren, som er synligt for mailmodtagere på deres mailklienter |
SenderIPv4 |
string |
IPv4-adressen på den senest registrerede mailserver, der videresendte meddelelsen |
SenderIPv6 |
string |
IPv6-adressen på den senest registrerede mailserver, der videresendte meddelelsen |
RecipientEmailAddress |
string |
Mailadresse på modtageren eller mailadresse på modtageren efter udvidelse af distributionsliste |
RecipientObjectId |
string |
Entydigt id for mailmodtageren i Microsoft Entra ID |
Subject |
string |
Mailens emne |
EmailClusterId |
long |
Identifikator for gruppen af lignende e-mails grupperet baseret på heuristisk analyse af deres indhold |
EmailDirection |
string |
Retning for mailen i forhold til dit netværk: Indgående, Udgående, Intern organisation |
DeliveryAction |
string |
Leveringshandling for mailen: Leveret, Uønsket, Blokeret eller Erstattet |
DeliveryLocation |
string |
Placering, hvor mailen blev leveret: Indbakke/Mappe, Lokalt/Eksternt, Uønsket, Karantæne, Mislykket, Mistet, Slettede elementer |
ThreatTypes |
string |
Dom fra mailfiltreringstakken om, hvorvidt mailen indeholder malware, phishing eller andre trusler |
ThreatNames |
string |
Registreringsnavn for malware eller andre trusler fundet |
DetectionMethods |
string |
Metoder, der bruges til at registrere malware, phishing eller andre trusler, der findes i mailen |
ConfidenceLevel |
string |
Liste over tillidsniveauer for spam- eller phishing-domme. For spam viser denne kolonne niveauet for spamsikkerhed (SCL), der angiver, om mailen blev sprunget over (-1), at den ikke er spam (0,1), at den er spam med moderat genkendelsessikkerhed (5,6), eller at den er spam med høj genkendelsessikkerhed (9). I forbindelse med phishing viser denne kolonne, om tillidsniveauet er "Høj" eller "Lav". |
BulkComplaintLevel |
int |
Grænse, der er tildelt til mail fra masseforsendelser, et højt samlet klageniveau (BCL) betyder, at mailen er mere tilbøjelige til at generere klager og derfor mere sandsynligt at være spam |
EmailAction |
string |
Endelig handling, der udføres på mailen baseret på filterbesigelse, politikker og brugerhandlinger: Flyt meddelelse til mappen Uønsket mail, Tilføj X-header, Rediger emne, Omdirigeringsmeddelelse, Slet meddelelse, Send til karantæne, Ingen handling udført, Bcc-meddelelse |
EmailActionPolicy |
string |
Handlingspolitik, der trådte i kraft: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Entydigt id for den politik, der bestemte den endelige mailhandling |
AuthenticationDetails |
string |
Liste over bestået eller mislykket dom over godkendelsesprotokoller via mail, f.eks. DMARC, DKIM, SPF eller en kombination af flere godkendelsestyper (CompAuth) |
AttachmentCount |
int |
Antal vedhæftede filer i mailen |
UrlCount |
int |
Antallet af integrerede URL-adresser i mailen |
EmailLanguage |
string |
Registreret sprog for mailindholdet |
Connectors |
string |
Brugerdefinerede instruktioner, der definerer organisationens mailflow, og hvordan mailen blev distribueret |
OrgLevelAction |
string |
Handling, der udføres på mailen som svar på overensstemmelser med en politik, der er defineret på organisationsniveau |
OrgLevelPolicy |
string |
Organisationspolitik, der udløste den handling, der blev udført på mailen |
UserLevelAction |
string |
Handling, der udføres på mailen som svar på match til en postkassepolitik, der er defineret af modtageren |
UserLevelPolicy |
string |
Politik for slutbrugerpostkasse, der udløste den handling, der blev udført på mailen |
ReportId |
string |
Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp. |
AdditionalFields |
string |
Yderligere oplysninger om enheden eller hændelsen |
LatestDeliveryLocation* |
string |
Senest kendte placering af mailen |
LatestDeliveryAction* |
string |
Senest kendte handling forsøgt på en mail af tjenesten eller af en administrator via manuel afhjælpning |
Bemærk!
* Kolonnerne LatestDeliveryLocation og LatestDeliveryAction er ikke tilgængelige i streaming-API'en.
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.