EmailEvents
Office 365 événements de messagerie, y compris les événements de remise de courrier électronique et de blocage.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AttachmentCount | int | Nombre de pièces jointes dans l’e-mail. |
| AuthenticationDetails | string | Liste des verdicts de réussite ou d’échec par des protocoles d’authentification par e-mail comme DMARC, DKIM, SPF ou une combinaison de plusieurs types d’authentification (CompAuth). |
| _BilledSize | real | Taille de l’enregistrement en octets |
| BulkComplaintLevel | int | Seuil attribué aux e-mails des expéditeurs en bloc, un niveau élevé de plainte en bloc (BCL) signifie que l’e-mail est plus susceptible de générer des plaintes, et donc plus susceptible d’être du courrier indésirable. |
| ConfidenceLevel | string | Liste des niveaux de confiance des verdicts de courrier indésirable ou d’hameçonnage. Pour le courrier indésirable, cette colonne affiche le niveau de confiance du courrier indésirable (SCL), indiquant si l’e-mail a été ignoré (-1), s’il n’est pas du courrier indésirable (0,1), s’il s’agit d’un courrier indésirable avec une confiance modérée (5,6) ou s’il s’agit d’un courrier indésirable avec une confiance élevée (9). Pour le hameçonnage, cette colonne indique si le niveau de confiance est « Élevé » ou « Faible ». |
| Connecteurs | string | Instructions personnalisées qui définissent le flux de messagerie de l’organisation et la façon dont l’e-mail a été routé. |
| DeliveryAction | string | Action de l’e-mail remis. |
| DeliveryLocation | string | Emplacement de l’e-mail remis : Boîte de réception/Dossier, Local/Externe, Courrier indésirable, Quarantaine, Échec, Supprimé, Supprimé. |
| DétectionMethods | string | Action de remise de l’e-mail : Remise, Courrier indésirable, Bloqué ou Remplacé. |
| EmailAction | string | Action finale effectuée sur l’e-mail en fonction du verdict de filtre, des stratégies et des actions de l’utilisateur : Déplacer le message vers le dossier courrier indésirable, Ajouter un en-tête X, Modifier l’objet, Rediriger le message, Supprimer le message, Envoyer en quarantaine, Aucune action effectuée, Message cci. |
| EmailActionPolicy | string | Stratégie d’action qui a pris effet : antispam à haut niveau de confiance, antispam, courrier en bloc anti-courrier indésirable, hameçonnage anti-courrier indésirable, emprunt d’identité de domaine anti-hameçonnage, emprunt d’identité d’utilisateur anti-hameçonnage, usurpation d’identité de graphe anti-hameçonnage, pièces jointes sécurisées anti-programme malveillant, règles de transport d’entreprise (ETR). |
| EmailActionPolicyGuid | string | Identificateur unique de la stratégie qui a pris effet. |
| EmailClusterId | long | Identificateur du cluster de messagerie. Les e-mails sont groupés en fonction de l’analyse heuristique de leur contenu. |
| EmailDirection | string | Email direction : entrant, sortant, intra-org. |
| EmailLanguage | string | Langue détectée du contenu de l’e-mail. |
| InternetMessageId | string | Identificateur public pour l’e-mail défini par le système de messagerie d’envoi. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| LatestDeliveryAction | string | Dernière action connue tentée sur un e-mail par le service ou par un administrateur par le biais d’une correction manuelle. |
| LatestDeliveryLocation | string | Dernier emplacement connu de l’e-mail. |
| NetworkMessageId | string | Identificateur unique de l’e-mail, généré par Office 365. |
| OrgLevelAction | string | Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie définie au niveau de l’organisation. |
| OrgLevelPolicy | string | Stratégie organisationnelle qui a déclenché l’action effectuée sur l’e-mail. |
| RecipientEmailAddress | string | Adresse e-mail du destinataire ou adresse e-mail du destinataire après l’expansion de la liste de distribution. |
| RecipientObjectId | string | Email’identificateur Azure AD du destinataire. |
| ReportId | string | Identificateur unique de l’événement. |
| SenderDisplayName | string | Adresse e-mail de l’expéditeur dans l’en-tête from, qui est visible par les destinataires de l’e-mail sur leurs clients de messagerie. |
| SenderFromAddress | string | Domaine de l’expéditeur dans l’en-tête from, qui est visible par les destinataires d’e-mail sur leurs clients de messagerie. |
| SenderFromDomain | string | Verdict de la pile de filtrage du courrier électronique indiquant si l’e-mail contient des programmes malveillants, du hameçonnage ou d’autres menaces. |
| SenderIPv4 | string | Adresse IPv4 du dernier serveur de messagerie détecté qui a relayé le message. |
| SenderIPv6 | string | Adresse IPv6 du dernier serveur de messagerie détecté qui a relayé le message. |
| SenderMailFromAddress | string | Adresse e-mail de l’expéditeur dans l’en-tête MAIL from, également appelée expéditeur de l’enveloppe ou adresse Return-Path. |
| SenderMailFromDomain | string | Domaine de l’expéditeur dans l’en-tête MAIL from, également appelé expéditeur d’enveloppe ou adresse Return-Path. |
| SenderObjectId | string | Adresse e-mail de l’expéditeur dans l’en-tête from, qui est visible par les destinataires de l’e-mail sur leurs clients de messagerie. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| Objet | string | Email champ d’objet. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatNames | string | Adresse e-mail de l’expéditeur dans l’en-tête from, qui est visible par les destinataires de l’e-mail sur leurs clients de messagerie. |
| ThreatTypes | string | Verdict de la pile de filtrage du courrier électronique indiquant si l’e-mail contient des programmes malveillants, du hameçonnage ou d’autres menaces. |
| TimeGenerated | DATETIME | Date et heure (UTC) de la génération de l’enregistrement. |
| Type | string | Le nom de la table |
| UrlCount | int | Nombre d’URL incorporées dans l’e-mail. |
| UserLevelAction | string | Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie de boîte aux lettres définie par le destinataire. |
| UserLevelPolicy | string | Stratégie de boîte aux lettres de l’utilisateur final qui a déclenché l’action effectuée sur l’e-mail. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour