EmailEvents
Se aplica a:
- Microsoft Defender XDR
La EmailEvents tabla del esquema de búsqueda avanzada contiene información sobre eventos que implican el procesamiento de correos electrónicos en Microsoft Defender para Office 365. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
NetworkMessageId |
string |
Identificador único del correo electrónico, generado por Microsoft 365 |
InternetMessageId |
string |
Identificador público para el correo electrónico que establece el sistema de correo electrónico de envío. |
SenderMailFromAddress |
string |
Dirección de correo electrónico del remitente en el encabezado MAIL FROM, que también se conoce como remitente del sobre o la dirección de Ruta de devolución. |
SenderFromAddress |
string |
Dirección de correo electrónico del remitente en el encabezado DE, que es visible para los destinatarios de correo electrónico de sus clientes. |
SenderDisplayName |
string |
Nombre del remitente que se muestra en la libreta de direcciones, normalmente una combinación de un nombre o nombre determinado, una inicial intermedia y un apellido o apellido |
SenderObjectId |
string |
Identificador único de la cuenta del remitente en Microsoft Entra ID |
SenderMailFromDomain |
string |
Dominio de remitente en el encabezado MAIL FROM, que también se conoce como remitente del sobre o la dirección de Ruta de devolución. |
SenderFromDomain |
string |
Dominio del remitente en el encabezado FROM, que es visible para los destinatarios del correo electrónico en los clientes de correo. |
SenderIPv4 |
string |
Dirección IPv4 del último servidor de correo detectado que retransmitió el mensaje. |
SenderIPv6 |
string |
Dirección IPv6 del último servidor de correo detectado que retransmitió el mensaje. |
RecipientEmailAddress |
string |
Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución. |
RecipientObjectId |
string |
Identificador único del destinatario del correo electrónico en Microsoft Entra ID |
Subject |
string |
Asunto del correo electrónico. |
EmailClusterId |
long |
Identificador para el grupo de correos electrónicos similares agrupados según el análisis heurístico de su contenido. |
EmailDirection |
string |
Dirección del correo electrónico en relación con la red: Entrante, Saliente, Intra-org |
DeliveryAction |
string |
Acción de entrega del correo electrónico: entregado, marcado como correo no deseado, bloqueado o reemplazado. |
DeliveryLocation |
string |
Ubicación en la que se entregó el correo electrónico: bandeja de entrada / carpeta, local / externo, correo no deseado, cuarentena, erróneo, descartado, elementos eliminados. |
ThreatTypes |
string |
Veredicto de la pila de filtrado de correo electrónico sobre si el correo electrónico contiene malware, suplantación de identidad (phishing) u otras amenazas |
ThreatNames |
string |
Nombre de detección de malware u otras amenazas encontradas |
DetectionMethods |
string |
Métodos usados para detectar malware, suplantación de identidad (phishing) u otras amenazas que se encuentran en el correo electrónico |
ConfidenceLevel |
string |
Lista de niveles de confianza de los veredictos de spam o phishing. En el caso del correo no deseado, esta columna muestra el nivel de confianza de correo no deseado (SCL), que indica si el correo electrónico se omitió (-1), se encontró que no era spam (0,1), se encontró que era correo no deseado con confianza moderada (5,6) o se encontró que era correo no deseado con alta confianza (9). En el caso de phishing, esta columna muestra si el nivel de confianza es "Alto" o "Bajo". |
BulkComplaintLevel |
int |
El umbral asignado al correo electrónico de los correos electrónicos masivos, un alto nivel de quejas masivas (BCL) significa que es más probable que el correo electrónico genere quejas y, por tanto, sea más probable que sea correo no deseado. |
EmailAction |
string |
Acción final realizada en el correo electrónico en función del veredicto de filtro, las directivas y las acciones del usuario: Mover el mensaje a la carpeta de correo no deseado, Agregar encabezado X, Modificar asunto, Mensaje de redirección, Eliminar mensaje, Enviar a cuarentena, No realizar ninguna acción, Mensaje CCO |
EmailActionPolicy |
string |
Directiva de acciones que entró en vigor: correo electrónico no deseado con alto nivel de confianza, correo electrónico no deseado, correo electrónico no deseado masivo, correo electrónico no deseado de suplantación de identidad, suplantación de un dominio protegido contra la suplantación de identidad, suplantación de un usuario protegido contra la suplantación de identidad, suplantación de identidad en contra de las medidas contra la suplantación de identidad, suplantación del gráfico contra la suplantación de identidad, contra el software malintencionado, datos adjuntos seguros, reglas de transporte empresarial (RTE). |
EmailActionPolicyGuid |
string |
Identificador único de la directiva que determinó la acción final tomada sobre el correo electrónico. |
AuthenticationDetails |
string |
Lista de veredictos de paso o error por protocolos de autenticación por correo electrónico como DMARC, DKIM, SPF o una combinación de varios tipos de autenticación (CompAuth) |
AttachmentCount |
int |
Número de datos adjuntos en el correo electrónico. |
UrlCount |
int |
Número de URL insertadas en el correo electrónico. |
EmailLanguage |
string |
Lenguaje detectado en el contenido del correo electrónico. |
Connectors |
string |
Instrucciones personalizadas que definen el flujo de correo de la organización y cómo se enrutó el correo electrónico |
OrgLevelAction |
string |
Acción realizada en el correo electrónico en respuesta a coincidencias con una directiva definida en el nivel organizativo |
OrgLevelPolicy |
string |
Directiva organizativa que desencadenó la acción realizada en el correo electrónico |
UserLevelAction |
string |
Acción realizada en el correo electrónico en respuesta a coincidencias con una directiva de buzón definida por el destinatario |
UserLevelPolicy |
string |
Directiva de buzón de usuario final que desencadenó la acción realizada en el correo electrónico |
ReportId |
string |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
AdditionalFields |
string |
Información adicional sobre la entidad o el evento |
LatestDeliveryLocation* |
string |
Última ubicación conocida del correo electrónico |
LatestDeliveryAction* |
string |
Última acción conocida intentada en un correo electrónico por el servicio o por un administrador a través de la corrección manual |
Nota:
* Las LatestDeliveryLocation columnas y LatestDeliveryActionno están disponibles en streaming API.
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.