EmailEvents
S’applique à :
- Microsoft Defender XDR
Le EmailEvents tableau du schéma de repérage avancé contient des informations sur les événements impliquant le traitement des e-mails sur Microsoft Defender pour Office 365. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
NetworkMessageId |
string |
Identificateur unique de l’e-mail, généré par Microsoft 365 |
InternetMessageId |
string |
Identificateur public de l’e-mail défini par le système de courrier d’envoi |
SenderMailFromAddress |
string |
Adresse e-mail de l’expéditeur dans l’en-tête MAIL FROM, également appelé expéditeur d’enveloppe ou adresse de retour |
SenderFromAddress |
string |
Adresse e-mail de l’expéditeur dans l’en-tête DE, visible par les destinataires de l’e-mail sur leurs clients de messagerie |
SenderDisplayName |
string |
Nom de l’expéditeur affiché dans le carnet d’adresses, généralement une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille |
SenderObjectId |
string |
Identificateur unique du compte de l’expéditeur dans Microsoft Entra ID |
SenderMailFromDomain |
string |
Domaine de l’expéditeur dans l’en-tête MAIL FROM, également appelé expéditeur d’enveloppe ou adresse de retour |
SenderFromDomain |
string |
Domaine e-mail de l’expéditeur dans l’en-tête DE, visible par les destinataires de l’e-mail sur leurs clients de messagerie |
SenderIPv4 |
string |
Adresse IPv4 du dernier serveur de messagerie détecté qui a relayé le message |
SenderIPv6 |
string |
Adresse IPv6 du dernier serveur de messagerie détecté qui a relayé le message |
RecipientEmailAddress |
string |
Adresse e-mail du destinataire ou adresse e-mail du destinataire après extension de la liste de distribution |
RecipientObjectId |
string |
Identificateur unique du destinataire de l’e-mail dans Microsoft Entra ID |
Subject |
string |
Objet de l’e-mail |
EmailClusterId |
long |
Identificateur du groupe des e-mails similaires ordonnés en fonction de l’analyse heuristique de leur contenu. |
EmailDirection |
string |
Direction de l’e-mail par rapport à votre réseau : entrant, sortant, intra-organisation |
DeliveryAction |
string |
Action de livraison de l'e-mail : remis, courrier indésirable, bloqué ou remplacé |
DeliveryLocation |
string |
Emplacement de remise du courrier électronique : boîte de réception/dossier, local/externe, courrier indésirable, quarantaine, échec, supprimé, éléments supprimés |
ThreatTypes |
string |
Verdict de la pile de filtrage des e-mails indiquant si l’e-mail contient des programmes malveillants, des hameçonnages ou d’autres menaces |
ThreatNames |
string |
Nom de détection des programmes malveillants ou d’autres menaces détectés |
DetectionMethods |
string |
Méthodes utilisées pour détecter les programmes malveillants, le hameçonnage ou d’autres menaces détectées dans l’e-mail |
ConfidenceLevel |
string |
Liste des niveaux de confiance des verdicts de courrier indésirable ou d’hameçonnage. Pour le courrier indésirable, cette colonne affiche le niveau de confiance du courrier indésirable (SCL), indiquant si l’e-mail a été ignoré (-1), s’il n’est pas du courrier indésirable (0,1), s’il s’agit d’un courrier indésirable avec un niveau de confiance modéré (5,6) ou s’il s’agit d’un courrier indésirable avec un niveau de confiance élevé (9). Pour le hameçonnage, cette colonne indique si le niveau de confiance est « Élevé » ou « Faible ». |
BulkComplaintLevel |
int |
Seuil attribué aux e-mails des expéditeurs en bloc, un niveau élevé de plainte en bloc (BCL) signifie que l’e-mail est plus susceptible de générer des plaintes, et donc plus susceptible d’être du courrier indésirable |
EmailAction |
string |
Action finale effectuée sur l’e-mail en fonction du verdict de filtre, des stratégies et des actions de l’utilisateur : Déplacer le message vers le dossier courrier indésirable, Ajouter un en-tête X, Modifier l’objet, Rediriger le message, Supprimer le message, Envoyer en quarantaine, Aucune action effectuée, Message cci |
EmailActionPolicy |
string |
Stratégie d’action appliquée : antispam hautement fiable, anti-courrier indésirable, antispam, courrier indésirable de courrier indésirable, emprunt d’identité de domaine anti-hameçonnage, emprunt d’identité d’utilisateur anti-hameçonnage, usurpation d’identité anti-hameçonnage, emprunt d’identité de graphe anti-hameçonnage, anti-programme malveillant, sécurité pièces jointes, règles de transport d’entreprise (ETR) |
EmailActionPolicyGuid |
string |
Identificateur unique de la stratégie qui a déterminé l’action de courrier finale |
AuthenticationDetails |
string |
Liste des verdicts de réussite ou d’échec par protocoles d’authentification par e-mail comme DMARC, DKIM, SPF ou une combinaison de types d’authentification multiples (CompAuth) |
AttachmentCount |
int |
Nombre de pièces jointes dans l’e-mail. |
UrlCount |
int |
Nombre d’URL incorporées dans l’e-mail |
EmailLanguage |
string |
Langue détectée du contenu de l’e-mail |
Connectors |
string |
Instructions personnalisées qui définissent le flux de messagerie de l’organisation et la façon dont l’e-mail a été routé |
OrgLevelAction |
string |
Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie définie au niveau de l’organisation |
OrgLevelPolicy |
string |
Stratégie organisationnelle qui a déclenché l’action effectuée sur l’e-mail |
UserLevelAction |
string |
Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie de boîte aux lettres définie par le destinataire |
UserLevelPolicy |
string |
Stratégie de boîte aux lettres de l’utilisateur final qui a déclenché l’action effectuée sur l’e-mail |
ReportId |
string |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
AdditionalFields |
string |
Informations supplémentaires sur l’entité ou l’événement |
LatestDeliveryLocation* |
string |
Dernier emplacement connu de l’e-mail |
LatestDeliveryAction* |
string |
Dernière action connue tentée sur un e-mail par le service ou par un administrateur par le biais d’une correction manuelle |
Remarque
* Les LatestDeliveryLocation colonnes et LatestDeliveryActionne sont pas disponibles dans l’API de streaming.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.