EmailEvents
Gilt für:
- Microsoft Defender XDR
Die EmailEvents Tabelle im Schema für die erweiterte Suche enthält Informationen zu Ereignissen, die die Verarbeitung von E-Mails auf Microsoft Defender for Office 365. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Tipp
Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
NetworkMessageId |
string |
Eindeutiger Bezeichner für die E-Mail, generiert von Microsoft 365 |
InternetMessageId |
string |
Öffentlich sichtbarer Bezeichner für die E-Mail-Nachricht, die vom sendenden E-Mail-System festgelegt wird |
SenderMailFromAddress |
string |
Absender-E-Mail-Adresse in der Kopfzeile "MAIL FROM", auch als Umschlagabsender oder als Return-Path-Adresse bezeichnet |
SenderFromAddress |
string |
Für E-Mail-Empfänger im E-Mail-Client in der FROM-Kopfzeile angezeigte Absender-E-Mail-Adresse |
SenderDisplayName |
string |
Name des Absenders, der im Adressbuch angezeigt wird, in der Regel eine Kombination aus einem vornamen oder einem vornamen, einem vornamen und einem Nachnamen |
SenderObjectId |
string |
Eindeutiger Bezeichner für das Konto des Absenders in Microsoft Entra ID |
SenderMailFromDomain |
string |
Absender-Domäne in der Kopfzeile "MAIL FROM", auch als Umschlagabsender oder als Return-Path-Adresse bezeichnet |
SenderFromDomain |
string |
Absender-Domäne in der Kopfzeile "FROM", die für E-Mail-Empfänger in ihren E-Mail-Clients sichtbar ist |
SenderIPv4 |
string |
Die IPv4-Adresse des letzten feststellbaren E-Mail-Servers, der die Nachricht weitergeleitet hat |
SenderIPv6 |
string |
Die IPv6-Adresse des letzten feststellbaren E-Mail-Servers, der die Nachricht weitergeleitet hat |
RecipientEmailAddress |
string |
E-Mail-Adresse des Empfängers oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste |
RecipientObjectId |
string |
Eindeutiger Bezeichner für den E-Mail-Empfänger in Microsoft Entra ID |
Subject |
string |
Betreff der E-Mail |
EmailClusterId |
long |
Bezeichner für die Gruppe von ähnlichen E-Mail-Nachrichten, die auf Basis der heuristischen Analyse ihrer Inhalte gruppiert sind |
EmailDirection |
string |
Richtung der E-Mail relativ zu Ihrem Netzwerk: Eingehend, ausgehend, organisationsintern |
DeliveryAction |
string |
Zustellungsaktion der E-Mail: übermittelt, als Junk eingestuft, blockiert oder ersetzt |
DeliveryLocation |
string |
Der Ort, an den die E-Mail zugestellt wurde: "Posteingang/Ordner", "lokal"/"extern", "Junk", "Quarantäne", "Fehler", „Verloren“ oder "Gelöschte Elemente" |
ThreatTypes |
string |
Bewertung des E-Mail-Filterstapels, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält |
ThreatNames |
string |
Erkennungsname für Gefundene Schadsoftware oder andere Bedrohungen |
DetectionMethods |
string |
Methoden zum Erkennen von Schadsoftware, Phishing oder anderen Bedrohungen in der E-Mail |
ConfidenceLevel |
string |
Liste der Zuverlässigkeitsstufen von Spam- oder Phishing-Bewertungen. Für Spam zeigt diese Spalte den Spam-Konfidenzgrad (SCL) an, der angibt, ob die E-Mail übersprungen wurde (-1), als kein Spam (0,1), als Spam mit mäßiger Zuverlässigkeit (5,6) oder als Spam mit hoher Zuverlässigkeit (9) eingestuft wurde. Für Phishing wird in dieser Spalte angezeigt, ob das Konfidenzniveau "Hoch" oder "Niedrig" ist. |
BulkComplaintLevel |
int |
Der Schwellenwert, der E-Mails von Massenmailern zugewiesen wird, bedeutet eine hohe Massenbeschwerdeebene (BCL), dass die E-Mail eher Beschwerden generiert und daher eher Spam ist. |
EmailAction |
string |
Letzte Aktion für die E-Mail basierend auf Filterbewertung, Richtlinien und Benutzeraktionen: Nachricht in Junk-E-Mail-Ordner verschieben, X-Header hinzufügen, Betreff ändern, Nachricht umleiten, Nachricht löschen, In Quarantäne senden, Keine Aktion ausgeführt, Bcc-Nachricht |
EmailActionPolicy |
string |
Aktionsrichtlinie, die in Kraft getreten ist: Antispam-Hochsicherheit, Antispam, Antispam-Massen-E-Mail, Antispam-Phishing, Anti-Phishing-Domänenidentitätswechsel, Antiphishing-Benutzeridentitätswechsel, Antiphishing-Spoofing, Anti-Phishing-Grafik-Identitätswechsel, Antimalware, Sichere Anlagen, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Eindeutiger Bezeichner für die Richtlinie, welche die endgültige E-Mail-Aktion ermittelt hat |
AuthenticationDetails |
string |
Liste der Erfolgreich- oder Fail-Bewertungen nach E-Mail-Authentifizierungsprotokollen wie DMARC, DKIM, SPF oder einer Kombination mehrerer Authentifizierungstypen (CompAuth) |
AttachmentCount |
int |
Anzahl der Anlagen in der E-Mail |
UrlCount |
int |
Anzahl der eingebetteten URLs in der E-Mail |
EmailLanguage |
string |
Erkannte Sprache des E-Mail-Inhalts |
Connectors |
string |
Benutzerdefinierte Anweisungen, die den E-Mail-Fluss der Organisation und die Weiterleitung der E-Mail definieren |
OrgLevelAction |
string |
Aktion für die E-Mail als Reaktion auf Übereinstimmungen mit einer auf Organisationsebene definierten Richtlinie |
OrgLevelPolicy |
string |
Organisationsrichtlinie, die die aktion ausgelöst hat, die für die E-Mail ausgeführt wurde |
UserLevelAction |
string |
Aktion für die E-Mail als Reaktion auf Übereinstimmungen mit einer vom Empfänger definierten Postfachrichtlinie |
UserLevelPolicy |
string |
Postfachrichtlinie für Endbenutzer, die die aktion ausgelöst hat, die für die E-Mail ausgeführt wurde |
ReportId |
string |
Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden. |
AdditionalFields |
string |
Zusätzliche Informationen zur Entität oder zum Ereignis |
LatestDeliveryLocation* |
string |
Letzter bekannter Speicherort der E-Mail |
LatestDeliveryAction* |
string |
Letzte bekannte Aktion, die vom Dienst oder von einem Administrator durch manuelle Korrektur an einer E-Mail versucht wurde |
Hinweis
* Die LatestDeliveryLocation Spalten und LatestDeliveryAction sind in der Streaming-API nicht verfügbar.
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.