EmailPostDeliveryEvents
Se aplica a:
- Microsoft Defender XDR
La EmailPostDeliveryEvents
tabla del esquema de búsqueda avanzada contiene información sobre las acciones posteriores a la entrega realizadas en los mensajes de correo electrónico procesados por Microsoft 365. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionType
valores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener más información sobre los mensajes de correo electrónico individuales, también puede usar las EmailEvents
tablas , EmailAttachmentInfo
y EmailUrlInfo
. Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Nombre de columna | Tipo de datos | Descripción |
---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
NetworkMessageId |
string |
Identificador único del correo electrónico, generado por Microsoft 365 |
InternetMessageId |
string |
Identificador público para el correo electrónico que establece el sistema de correo electrónico de envío. |
Action |
string |
Acción realizada en la entidad |
ActionType |
string |
Tipo de actividad que desencadenó el evento: Corrección manual, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Indica si un administrador ha desencadenado una acción (manualmente o a través de la aprobación de una acción automatizada pendiente) o por algún mecanismo especial, como un ZAP o una entrega dinámica. |
ActionResult |
string |
Resultado de la acción |
RecipientEmailAddress |
string |
Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución. |
DeliveryLocation |
string |
Ubicación en la que se entregó el correo electrónico: bandeja de entrada / carpeta, local / externo, correo no deseado, cuarentena, erróneo, descartado, elementos eliminados. |
ThreatTypes |
string |
Veredicto de la pila de filtrado de correo electrónico sobre si el correo electrónico contiene malware, suplantación de identidad (phishing) u otras amenazas |
DetectionMethods |
string |
Métodos usados para detectar malware, suplantación de identidad (phishing) u otras amenazas que se encuentran en el correo electrónico |
ReportId |
string |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
Tipos de eventos admitidos
Esta tabla captura eventos con los siguientes ActionType
valores:
- Corrección manual : un administrador tomó medidas manualmente en un mensaje de correo electrónico después de entregarlo al buzón de usuario. Esto incluye las acciones realizadas manualmente a través del Explorador de amenazas o las aprobaciones de acciones automatizadas de investigación y respuesta (AIR).
- Phish ZAP : la purga automática de cero horas (ZAP) tomó medidas en un correo electrónico de suplantación de identidad (phishing) después de la entrega.
- ZAP de malware : la purga automática de cero horas (ZAP) tomó medidas en un mensaje de correo electrónico encontrado que contiene malware después de la entrega.
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.