Abfragen für die Tabelle "EmailAttachmentInfo"
Dateien von böswilligen Absendern
Findet das erste Auftreten von Dateien, die von einem böswilligen Absender in Ihrem organization zum ausgewählten Zeitrahmen gesendet wurden. Um frühere Darstellungen anzuzeigen, vergrößern Sie den ausgewählten Zeitbereich.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
E-Mails an externe Domänen mit Anlagen
E-Mails, die an eine externe Domäne gesendet werden und Anlagen enthalten.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für