EmailPostDeliveryEvents
S’applique à :
- Microsoft Defender XDR
Le EmailPostDeliveryEvents tableau du schéma de repérage avancé contient des informations sur les actions post-remise effectuées sur les messages électroniques traités par Microsoft 365. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour obtenir plus d’informations sur les messages électroniques individuels, vous pouvez également utiliser les EmailEventstables , EmailAttachmentInfoet EmailUrlInfo . Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
NetworkMessageId |
string |
Identificateur unique de l’e-mail, généré par Microsoft 365 |
InternetMessageId |
string |
Identificateur public de l’e-mail défini par le système de courrier d’envoi |
Action |
string |
Action effectuée sur l’entité |
ActionType |
string |
Type d’activité qui a déclenché l’événement : Correction manuelle, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Indique si une action a été déclenchée par un administrateur (manuellement ou via l’approbation d’une action automatisée en attente) ou par un mécanisme spécial, tel qu’un ZAP ou une livraison dynamique |
ActionResult |
string |
Résultat de l’action |
RecipientEmailAddress |
string |
Adresse e-mail du destinataire ou adresse e-mail du destinataire après extension de la liste de distribution |
DeliveryLocation |
string |
Emplacement de remise du courrier électronique : boîte de réception/dossier, local/externe, courrier indésirable, quarantaine, échec, supprimé, éléments supprimés |
ThreatTypes |
string |
Verdict de la pile de filtrage des e-mails indiquant si l’e-mail contient des programmes malveillants, des hameçonnages ou d’autres menaces |
DetectionMethods |
string |
Méthodes utilisées pour détecter les programmes malveillants, le hameçonnage ou d’autres menaces détectées dans l’e-mail |
ReportId |
string |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
Types d’événements pris en charge
Ce tableau capture les événements avec les valeurs suivantes ActionType :
- Correction manuelle : un administrateur a effectué manuellement une action sur un e-mail après sa remise à la boîte aux lettres de l’utilisateur. Cela inclut les actions effectuées manuellement via le Explorer des menaces ou les approbations d’actions d’investigation et de réponse automatisées (AIR).
- Phish ZAP : le vidage automatique de zéro heure (ZAP) a pris des mesures sur un e-mail d’hameçonnage après la remise.
- Malware ZAP : le vidage automatique zero-hour (ZAP) a pris des mesures sur un message électronique trouvé contenant un programme malveillant après la remise.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.