Compartir vía


EmailEvents

Se aplica a:

  • Microsoft Defender XDR

La EmailEvents tabla del esquema de búsqueda avanzada contiene información sobre eventos que implican el procesamiento de correos electrónicos en Microsoft Defender para Office 365. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
NetworkMessageId string Identificador único del correo electrónico, generado por Microsoft 365
InternetMessageId string Identificador público para el correo electrónico que establece el sistema de correo electrónico de envío.
SenderMailFromAddress string Dirección de correo electrónico del remitente en el encabezado MAIL FROM, que también se conoce como remitente del sobre o la dirección de Ruta de devolución.
SenderFromAddress string Dirección de correo electrónico del remitente en el encabezado DE, que es visible para los destinatarios de correo electrónico de sus clientes.
SenderDisplayName string Nombre del remitente que se muestra en la libreta de direcciones, normalmente una combinación de un nombre o nombre determinado, una inicial intermedia y un apellido o apellido
SenderObjectId string Identificador único de la cuenta del remitente en Microsoft Entra ID
SenderMailFromDomain string Dominio de remitente en el encabezado MAIL FROM, que también se conoce como remitente del sobre o la dirección de Ruta de devolución.
SenderFromDomain string Dominio del remitente en el encabezado FROM, que es visible para los destinatarios del correo electrónico en los clientes de correo.
SenderIPv4 string Dirección IPv4 del último servidor de correo detectado que retransmitió el mensaje.
SenderIPv6 string Dirección IPv6 del último servidor de correo detectado que retransmitió el mensaje.
RecipientEmailAddress string Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución.
RecipientObjectId string Identificador único del destinatario del correo electrónico en Microsoft Entra ID
Subject string Asunto del correo electrónico.
EmailClusterId long Identificador para el grupo de correos electrónicos similares agrupados según el análisis heurístico de su contenido.
EmailDirection string Dirección del correo electrónico en relación con la red: Entrante, Saliente, Intra-org
DeliveryAction string Acción de entrega del correo electrónico: entregado, marcado como correo no deseado, bloqueado o reemplazado.
DeliveryLocation string Ubicación en la que se entregó el correo electrónico: bandeja de entrada / carpeta, local / externo, correo no deseado, cuarentena, erróneo, descartado, elementos eliminados.
ThreatTypes string Veredicto de la pila de filtrado de correo electrónico sobre si el correo electrónico contiene malware, suplantación de identidad (phishing) u otras amenazas
ThreatNames string Nombre de detección de malware u otras amenazas encontradas
DetectionMethods string Métodos usados para detectar malware, suplantación de identidad (phishing) u otras amenazas que se encuentran en el correo electrónico
ConfidenceLevel string Lista de niveles de confianza de los veredictos de spam o phishing. En el caso del correo no deseado, esta columna muestra el nivel de confianza de correo no deseado (SCL), que indica si el correo electrónico se omitió (-1), se encontró que no era spam (0,1), se encontró que era correo no deseado con confianza moderada (5,6) o se encontró que era correo no deseado con alta confianza (9). En el caso de phishing, esta columna muestra si el nivel de confianza es "Alto" o "Bajo".
BulkComplaintLevel int El umbral asignado al correo electrónico de los correos electrónicos masivos, un alto nivel de quejas masivas (BCL) significa que es más probable que el correo electrónico genere quejas y, por tanto, sea más probable que sea correo no deseado.
EmailAction string Acción final realizada en el correo electrónico en función del veredicto de filtro, las directivas y las acciones del usuario: Mover el mensaje a la carpeta de correo no deseado, Agregar encabezado X, Modificar asunto, Mensaje de redirección, Eliminar mensaje, Enviar a cuarentena, No realizar ninguna acción, Mensaje CCO
EmailActionPolicy string Directiva de acciones que entró en vigor: correo electrónico no deseado con alto nivel de confianza, correo electrónico no deseado, correo electrónico no deseado masivo, correo electrónico no deseado de suplantación de identidad, suplantación de un dominio protegido contra la suplantación de identidad, suplantación de un usuario protegido contra la suplantación de identidad, suplantación de identidad en contra de las medidas contra la suplantación de identidad, suplantación del gráfico contra la suplantación de identidad, contra el software malintencionado, datos adjuntos seguros, reglas de transporte empresarial (RTE).
EmailActionPolicyGuid string Identificador único de la directiva que determinó la acción final tomada sobre el correo electrónico.
AuthenticationDetails string Lista de veredictos de paso o error por protocolos de autenticación por correo electrónico como DMARC, DKIM, SPF o una combinación de varios tipos de autenticación (CompAuth)
AttachmentCount int Número de datos adjuntos en el correo electrónico.
UrlCount int Número de URL insertadas en el correo electrónico.
EmailLanguage string Lenguaje detectado en el contenido del correo electrónico.
Connectors string Instrucciones personalizadas que definen el flujo de correo de la organización y cómo se enrutó el correo electrónico
OrgLevelAction string Acción realizada en el correo electrónico en respuesta a coincidencias con una directiva definida en el nivel organizativo
OrgLevelPolicy string Directiva organizativa que desencadenó la acción realizada en el correo electrónico
UserLevelAction string Acción realizada en el correo electrónico en respuesta a coincidencias con una directiva de buzón definida por el destinatario
UserLevelPolicy string Directiva de buzón de usuario final que desencadenó la acción realizada en el correo electrónico
ReportId string Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.
AdditionalFields string Información adicional sobre la entidad o el evento
LatestDeliveryLocation* string Última ubicación conocida del correo electrónico
LatestDeliveryAction* string Última acción conocida intentada en un correo electrónico por el servicio o por un administrador a través de la corrección manual

Nota:

* Las LatestDeliveryLocation columnas y LatestDeliveryActionno están disponibles en streaming API.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.