Requêtes pour la table EmailAttachmentInfo
Fichiers de l’expéditeur malveillant
Recherche la première apparence des fichiers envoyés par un expéditeur malveillant dans votre organization à la période sélectionnée. Pour voir les apparences antérieures, augmentez l’intervalle de temps sélectionné.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
E-mails vers des domaines externes avec pièces jointes
E-mails envoyés à un domaine externe qui incluent des pièces jointes.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour