EmailPostDeliveryEvents

Nota:

¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.

Se aplica a:

• Microsoft Defender XDR

La EmailPostDeliveryEvents tabla del esquema de búsqueda avanzada contiene información sobre las acciones posteriores a la entrega realizadas en los mensajes de correo electrónico procesados por Microsoft 365. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Para obtener más información sobre los mensajes de correo electrónico individuales, también puede usar las EmailEventstablas , EmailAttachmentInfoy EmailUrlInfo . Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Nombre de columna	Tipo de datos	Descripción
Timestamp	datetime	Fecha y hora en que se registró el evento.
NetworkMessageId	string	Identificador único del correo electrónico, generado por Microsoft 365
InternetMessageId	string	Identificador público para el correo electrónico que establece el sistema de correo electrónico de envío.
Action	string	Acción realizada en la entidad
ActionType	string	Tipo de actividad que desencadenó el evento: Corrección manual, Phish ZAP, Malware ZAP
ActionTrigger	string	Indica si un administrador ha desencadenado una acción (manualmente o a través de la aprobación de una acción automatizada pendiente) o por algún mecanismo especial, como un ZAP o una entrega dinámica.
ActionResult	string	Resultado de la acción
RecipientEmailAddress	string	Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución.
DeliveryLocation	string	Ubicación en la que se entregó el correo electrónico: bandeja de entrada / carpeta, local / externo, correo no deseado, cuarentena, erróneo, descartado, elementos eliminados.
ThreatTypes	string	Veredicto de la pila de filtrado de correo electrónico sobre si el correo electrónico contiene malware, suplantación de identidad (phishing) u otras amenazas
DetectionMethods	string	Métodos usados para detectar malware, suplantación de identidad (phishing) u otras amenazas que se encuentran en el correo electrónico
ReportId	string	Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.

Tipos de eventos admitidos

Esta tabla captura eventos con los siguientes ActionType valores:

• Corrección manual : un administrador tomó medidas manualmente en un mensaje de correo electrónico después de entregarlo al buzón de usuario. Esto incluye las acciones realizadas manualmente a través del Explorador de amenazas o las aprobaciones de acciones automatizadas de investigación y respuesta (AIR).
• Phish ZAP : la purga automática de cero horas (ZAP) tomó medidas en un correo electrónico de suplantación de identidad (phishing) después de la entrega.
• ZAP de malware : la purga automática de cero horas (ZAP) tomó medidas en un mensaje de correo electrónico encontrado que contiene malware después de la entrega.

Temas relacionados

• Información general sobre la búsqueda avanzada de amenazas
• Aprender el lenguaje de consulta
• Usar consultas compartidas
• Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
• Entender el esquema
• Aplicar procedimientos recomendados de consulta

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.