EmailEvents
Koskee seuraavia:
- Microsoft Defender XDR
EmailEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja tapahtumista, joihin liittyy sähköpostien käsittely Microsoft Defender for Office 365. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
NetworkMessageId |
string |
Microsoft 365:n luoma sähköpostin yksilöllinen tunniste |
InternetMessageId |
string |
Sähköpostin lähetysjärjestelmän määrittämän sähköpostin julkinen tunniste |
SenderMailFromAddress |
string |
Lähettäjän sähköpostiosoite MAIL FROM -otsikossa, jota kutsutaan myös kirjekuoren lähettäjäksi tai Return-Path osoitteeksi |
SenderFromAddress |
string |
Lähettäjän sähköpostiosoite FROM-otsikossa, joka näkyy sähköpostiasiakkaiden sähköpostin vastaanottajille |
SenderDisplayName |
string |
Osoitteistossa näkyvän lähettäjän nimi, yleensä annetun tai etunimen, keskimmäisen alkukirjaimen sekä sukunimen tai sukunimen yhdistelmä |
SenderObjectId |
string |
Lähettäjän tilin yksilöllinen tunnus Microsoft Entra ID |
SenderMailFromDomain |
string |
Lähettäjän toimialue MAIL FROM -otsikossa, jota kutsutaan myös kirjekuoren lähettäjäksi tai Return-Path osoitteeksi |
SenderFromDomain |
string |
LÄHETTÄJÄ-toimialue FROM-otsikossa, joka näkyy sähköpostin vastaanottajille heidän sähköpostiohjelmissaan |
SenderIPv4 |
string |
Viestin välittäneen viimeisimmän havaitun postipalvelimen IPv4-osoite |
SenderIPv6 |
string |
Viestin välittäneen viimeisimmän havaitun sähköpostipalvelimen IPv6-osoite |
RecipientEmailAddress |
string |
Vastaanottajan sähköpostiosoite tai vastaanottajan sähköpostiosoite jakeluluettelon laajentamisen jälkeen |
RecipientObjectId |
string |
Sähköpostin vastaanottajan yksilöllinen tunniste Microsoft Entra ID |
Subject |
string |
Sähköpostiviestin aihe |
EmailClusterId |
long |
Tunniste samankaltaisten sähköpostien ryhmälle, joka on klusteroitu niiden sisällön heurisistisen analyysin perusteella |
EmailDirection |
string |
Verkon sähköpostin suunta: Saapuva, Lähtevä, Organisaationsisäinen |
DeliveryAction |
string |
Sähköpostin toimitustoiminto: Toimitettu, Roskaposti, Estetty tai Korvattu |
DeliveryLocation |
string |
Sähköpostin toimitussijainti: Saapuneet/Kansio, Paikallinen/Ulkoinen, Roskaposti, Karanteeni, Epäonnistunut, Pudotettu, Poistetut |
ThreatTypes |
string |
Sähköpostin suodatuspinon tuomio siitä, sisältääkö sähköposti haittaohjelmia, tietojenkalasteluja tai muita uhkia |
ThreatNames |
string |
Haittaohjelmien tai muiden uhkien tunnistamisnimi |
DetectionMethods |
string |
Menetelmät haittaohjelmien, tietojenkalastelun tai muiden sähköpostista löytyvien uhkien havaitsemiseen |
ConfidenceLevel |
string |
Luettelo roskaposti- tai tietojenkalastelupäätösten luotettavuustasoista. Roskapostin kohdalla tämä sarake näyttää roskapostin luottamustason (SCL), joka ilmaisee, ohitettiinko sähköpostiviesti (-1), todettiinko se ei roskapostiksi (0,1), todettiinko roskapostin olevan kohtalaisen luotettavaa (5,6) vai todettiinko se roskapostiksi suurella luotettavuudella (9). Tietojen kalastelussa tämä sarake näyttää, onko luotettavuustaso "Korkea" vai "Pieni". |
BulkComplaintLevel |
int |
Joukkopostittajien sähköpostille määritetty raja-arvo, suuri joukkovalitustaso (BCL), tarkoittaa sitä, että sähköposti aiheuttaa todennäköisemmin valituksia ja on siten todennäköisemmin roskapostia |
EmailAction |
string |
Lopullinen toiminto sähköpostiviestissä, joka perustuu suodatuspäätökseen, käytäntöihin ja käyttäjän toimiin: Siirrä viesti roskapostikansioon, Lisää X-otsikko, Muokkaa aihetta, Uudelleenohjaa viesti, Poista viesti, Lähetä karanteeniin, Ei toimia, Piilokopioviesti |
EmailActionPolicy |
string |
Käyttöön otettu toimintakäytäntö: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain tekeytyminen, Tietojenkalastelun torjunta käyttäjä tekeytyminen, Tietojenkalastelun torjunta, Tietojenkalastelun torjunta kaavio tekeytyminen, Haittaohjelmien torjunta, Turvalliset liitteet, Yrityskuljetussäännöt (ETR) |
EmailActionPolicyGuid |
string |
Lopullisen sähköpostitoiminnon määrittäneen käytännön yksilöllinen tunnus |
AuthenticationDetails |
string |
Luettelo pass- tai fail-tuomioista sähköpostin todennusprotokollien, kuten DMARC, DKIM, SPF tai useiden todennustyyppien (CompAuth) yhdistelmä |
AttachmentCount |
int |
Sähköpostiviestin liitteiden määrä |
UrlCount |
int |
Sähköpostiviestin upotettujen URL-osoitteiden määrä |
EmailLanguage |
string |
Sähköpostisisällön havaittu kieli |
Connectors |
string |
Mukautetut ohjeet, jotka määrittävät organisaation postinkulun ja sähköpostin reitityksen |
OrgLevelAction |
string |
Sähköpostiviestissä suoritettu toiminto vastauksena vastaavuuksiin organisaation tasolla määritettyyn käytäntöön |
OrgLevelPolicy |
string |
Organisaation käytäntö, joka käynnisti sähköpostissa toteutetun toiminnon |
UserLevelAction |
string |
Sähköpostiviestissä suoritettu toiminto vastauksena vastaanottajan määrittämän postilaatikkokäytännön vastaavuuksiin |
UserLevelPolicy |
string |
Käyttäjän postilaatikkokäytäntö, joka käynnisti sähköpostiviestissä toteutetun toiminnon |
ReportId |
string |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
AdditionalFields |
string |
Lisätietoja entiteetistä tai tapahtumasta |
LatestDeliveryLocation* |
string |
Sähköpostin viimeisin tunnettu sijainti |
LatestDeliveryAction* |
string |
Viimeisin tunnettu toiminto, jota palvelu tai järjestelmänvalvoja yritti sähköpostiviestissä manuaalisen korjauksen kautta |
Huomautus
* - LatestDeliveryLocation ja LatestDeliveryAction -sarakkeet eivät ole käytettävissä suoratoiston ohjelmointirajapinnassa.
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.