Del via


EmailEvents

Gælder for:

  • Microsoft Defender XDR

Tabellen EmailEvents i det avancerede jagtskema indeholder oplysninger om hændelser, der involverer behandling af mails på Microsoft Defender for Office 365. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Tip

Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslæt for registrering af hændelsen
NetworkMessageId string Entydigt id for mailen, der genereres af Microsoft 365
InternetMessageId string Offentlig identifikator for den mail, der er angivet af det sendende mailsystem
SenderMailFromAddress string Afsendermailadresse i headeren MAIL FROM, også kendt som afsenderkonvolutten eller den Return-Path adresse
SenderFromAddress string Afsendermailadresse i overskriften FROM, som er synlig for mailmodtagere på deres mailklienter
SenderDisplayName string Navnet på den afsender, der vises i adressekartoteket, typisk en kombination af et givet eller fornavn, et mellemnavn og et efternavn eller efternavn
SenderObjectId string Entydigt id for afsenderens konto i Microsoft Entra ID
SenderMailFromDomain string Afsenderdomæne i headeren MAIL FROM, også kendt som afsenderkonvolutten eller den Return-Path adresse
SenderFromDomain string Afsenderdomæne i FROM-headeren, som er synligt for mailmodtagere på deres mailklienter
SenderIPv4 string IPv4-adressen på den senest registrerede mailserver, der videresendte meddelelsen
SenderIPv6 string IPv6-adressen på den senest registrerede mailserver, der videresendte meddelelsen
RecipientEmailAddress string Mailadresse på modtageren eller mailadresse på modtageren efter udvidelse af distributionsliste
RecipientObjectId string Entydigt id for mailmodtageren i Microsoft Entra ID
Subject string Mailens emne
EmailClusterId long Identifikator for gruppen af lignende e-mails grupperet baseret på heuristisk analyse af deres indhold
EmailDirection string Retning for mailen i forhold til dit netværk: Indgående, Udgående, Intern organisation
DeliveryAction string Leveringshandling for mailen: Leveret, Uønsket, Blokeret eller Erstattet
DeliveryLocation string Placering, hvor mailen blev leveret: Indbakke/Mappe, Lokalt/Eksternt, Uønsket, Karantæne, Mislykket, Mistet, Slettede elementer
ThreatTypes string Dom fra mailfiltreringstakken om, hvorvidt mailen indeholder malware, phishing eller andre trusler
ThreatNames string Registreringsnavn for malware eller andre trusler fundet
DetectionMethods string Metoder, der bruges til at registrere malware, phishing eller andre trusler, der findes i mailen
ConfidenceLevel string Liste over tillidsniveauer for spam- eller phishing-domme. For spam viser denne kolonne niveauet for spamsikkerhed (SCL), der angiver, om mailen blev sprunget over (-1), at den ikke er spam (0,1), at den er spam med moderat genkendelsessikkerhed (5,6), eller at den er spam med høj genkendelsessikkerhed (9). I forbindelse med phishing viser denne kolonne, om tillidsniveauet er "Høj" eller "Lav".
BulkComplaintLevel int Grænse, der er tildelt til mail fra masseforsendelser, et højt samlet klageniveau (BCL) betyder, at mailen er mere tilbøjelige til at generere klager og derfor mere sandsynligt at være spam
EmailAction string Endelig handling, der udføres på mailen baseret på filterbesigelse, politikker og brugerhandlinger: Flyt meddelelse til mappen Uønsket mail, Tilføj X-header, Rediger emne, Omdirigeringsmeddelelse, Slet meddelelse, Send til karantæne, Ingen handling udført, Bcc-meddelelse
EmailActionPolicy string Handlingspolitik, der trådte i kraft: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR)
EmailActionPolicyGuid string Entydigt id for den politik, der bestemte den endelige mailhandling
AuthenticationDetails string Liste over bestået eller mislykket dom over godkendelsesprotokoller via mail, f.eks. DMARC, DKIM, SPF eller en kombination af flere godkendelsestyper (CompAuth)
AttachmentCount int Antal vedhæftede filer i mailen
UrlCount int Antallet af integrerede URL-adresser i mailen
EmailLanguage string Registreret sprog for mailindholdet
Connectors string Brugerdefinerede instruktioner, der definerer organisationens mailflow, og hvordan mailen blev distribueret
OrgLevelAction string Handling, der udføres på mailen som svar på overensstemmelser med en politik, der er defineret på organisationsniveau
OrgLevelPolicy string Organisationspolitik, der udløste den handling, der blev udført på mailen
UserLevelAction string Handling, der udføres på mailen som svar på match til en postkassepolitik, der er defineret af modtageren
UserLevelPolicy string Politik for slutbrugerpostkasse, der udløste den handling, der blev udført på mailen
ReportId string Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp.
AdditionalFields string Yderligere oplysninger om enheden eller hændelsen
LatestDeliveryLocation* string Senest kendte placering af mailen
LatestDeliveryAction* string Senest kendte handling forsøgt på en mail af tjenesten eller af en administrator via manuel afhjælpning

Bemærk!

* Kolonnerne LatestDeliveryLocation og LatestDeliveryAction er ikke tilgængelige i streaming-API'en.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.