EmailPostDeliveryEvents
Gilt für:
- Microsoft Defender XDR
Die EmailPostDeliveryEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Aktionen nach der Übermittlung, die für von Microsoft 365 verarbeitete E-Mail-Nachrichten ausgeführt werden. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Tipp
Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.
Um weitere Informationen zu einzelnen E-Mail-Nachrichten zu erhalten, können Sie auch die EmailEventsTabellen , EmailAttachmentInfound EmailUrlInfo verwenden. Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
NetworkMessageId |
string |
Eindeutiger Bezeichner für die E-Mail, generiert von Microsoft 365 |
InternetMessageId |
string |
Öffentlich sichtbarer Bezeichner für die E-Mail-Nachricht, die vom sendenden E-Mail-System festgelegt wird |
Action |
string |
Für die Entität ausgeführte Aktion |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat: Manuelle Wartung, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Gibt an, ob eine Aktion von einem Administrator (manuell oder durch Genehmigung einer ausstehenden automatisierten Aktion) oder durch einen speziellen Mechanismus wie zap oder Dynamic Delivery ausgelöst wurde. |
ActionResult |
string |
Ergebnis der Aktion |
RecipientEmailAddress |
string |
E-Mail-Adresse des Empfängers oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste |
DeliveryLocation |
string |
Der Ort, an den die E-Mail zugestellt wurde: "Posteingang/Ordner", "lokal"/"extern", "Junk", "Quarantäne", "Fehler", „Verloren“ oder "Gelöschte Elemente" |
ThreatTypes |
string |
Bewertung des E-Mail-Filterstapels, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält |
DetectionMethods |
string |
Methoden zum Erkennen von Schadsoftware, Phishing oder anderen Bedrohungen in der E-Mail |
ReportId |
string |
Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden. |
Unterstützte Ereignistypen
Diese Tabelle erfasst Ereignisse mit den folgenden ActionType Werten:
- Manuelle Korrektur : Ein Administrator hat manuell Maßnahmen für eine E-Mail-Nachricht ausgeführt, nachdem sie an das Benutzerpostfach übermittelt wurde. Dies umfasst aktionen, die manuell über threat Explorer oder genehmigungen von automatisierten Untersuchungs- und Reaktionsaktionen (AIR) ausgeführt werden.
- Phish ZAP – Zero-Hour Auto Purge (ZAP) hat eine Aktion auf eine Phishing-E-Mail nach der Zustellung ergriffen.
- Malware ZAP – Zero-Hour Auto Purge (ZAP) hat eine Aktion auf eine E-Mail-Nachricht ausgeführt, die nach der Zustellung Schadsoftware enthält.
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.