EmailEvents
חל על:
- Microsoft Defender XDR
הטבלה EmailEventsבסכימת הציד המתקדמות מכילה מידע אודות אירועים הקשורים לעיבוד הודעות דואר אלקטרוני Microsoft Defender עבור Office 365. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
NetworkMessageId |
string |
מזהה ייחודי עבור הדואר האלקטרוני שנוצר על-ידי Microsoft 365 |
InternetMessageId |
string |
מזהה ציבורי עבור הדואר האלקטרוני שמערכת הדואר האלקטרוני השולחת מגדירה |
SenderMailFromAddress |
string |
כתובת הדואר האלקטרוני של השולח בכותרת MAIL FROM, המכונה גם שולח המעטפה או כתובת Return-Path שלך |
SenderFromAddress |
string |
כתובת הדואר האלקטרוני של השולח בכותרת FROM, הגלויה לנמעני דואר אלקטרוני לקוחות הדואר האלקטרוני שלהם |
SenderDisplayName |
string |
שם השולח המוצג בפנקס הכתובות, בדרך כלל שילוב של שם פרטי או נתון, שם פרטי אמצעי ושם משפחה או שם משפחה |
SenderObjectId |
string |
מזהה ייחודי עבור חשבון השולח ב- Microsoft Entra מזהה |
SenderMailFromDomain |
string |
תחום השולח בכותרת MAIL FROM, המכונה גם שולח המעטפה או כתובת Return-Path שלך |
SenderFromDomain |
string |
תחום השולח בכותרת FROM, הגלויה לנמעני דואר אלקטרוני אצל לקוחות הדואר האלקטרוני שלהם |
SenderIPv4 |
string |
כתובת IPv4 של שרת הדואר האחרון שזוהה, שהמסר את ההודעה |
SenderIPv6 |
string |
כתובת IPv6 של שרת הדואר האחרון שזוהה, שהמסר את ההודעה |
RecipientEmailAddress |
string |
כתובת דואר אלקטרוני של הנמען, או כתובת הדואר האלקטרוני של הנמען לאחר הרחבת רשימת התפוצה |
RecipientObjectId |
string |
מזהה ייחודי עבור נמען הדואר האלקטרוני Microsoft Entra מזהה |
Subject |
string |
נושא הודעת הדואר האלקטרוני |
EmailClusterId |
long |
מזהה עבור הקבוצה של הודעות דואר אלקטרוני דומות מקובצות באשכולות בהתבסס על ניתוח ההארסטי של התוכן שלהן |
EmailDirection |
string |
כיוון הדואר האלקטרוני ביחס לרשת שלך: כניסה, יוצא, אינטרא-ארגוני |
DeliveryAction |
string |
פעולת מסירה של הודעת הדואר האלקטרוני: 'נמסר', 'דואר זבל', 'חסום' או 'הוחלף' |
DeliveryLocation |
string |
מיקום שאליו נשלח הדואר האלקטרוני: תיבת דואר נכנס/תיקיה, מקומי/חיצוני, דואר זבל, העבר להסגר, נכשל, הוצב, נמחק, פריטים שנמחקו |
ThreatTypes |
string |
גזר הדין ממחסנית סינון הדואר האלקטרוני מציין אם הודעת הדואר האלקטרוני מכילה תוכנות זדוניות, דיוג או איומים אחרים |
ThreatNames |
string |
שם זיהוי עבור תוכנות זדוניות או איומים אחרים שנמצאו |
DetectionMethods |
string |
שיטות המשמשות לזיהוי תוכנות זדוניות, דיוג או איומים אחרים שנמצאו בדואר האלקטרוני |
ConfidenceLevel |
string |
רשימה של רמות ביטחון של כל גזר דין של דואר זבל או דיוג. עבור דואר זבל, עמודה זו מציגה את רמת הביטחון של דואר זבל (SCL), המציינת אם המערכת דילגה על הודעת הדואר האלקטרוני (-1), שנמצאה כדואר זבל (0,1), שנמצאה כדואר זבל בביטחון בינוני (5,6) או שנמצאה כדואר זבל בביטחון רב (9). עבור דיוג, עמודה זו מציגה אם רמת הביטחון היא "גבוהה" או "נמוכה". |
BulkComplaintLevel |
int |
הסף שהוקצה לדואר אלקטרוני מהודעות דואר אלקטרוני בצובר, רמת תלונה בצובר גבוהה (BCL) פירושו שהודעת הדואר האלקטרוני עשויה להפיק תלונות, ולפיכך עשויה להיות דואר זבל |
EmailAction |
string |
פעולה סופית שבוצעה על הודעת הדואר האלקטרוני בהתבסס על פסק דין של סינון, מדיניות ופעולות משתמש: העברת הודעה לתיקיית דואר זבל, הוספת X-header, שינוי נושא, הודעת ניתוב מחדש, מחיקת הודעה, שליחה להסגר, ללא פעולה שבוצעה, הודעת עותק מוסתר |
EmailActionPolicy |
string |
מדיניות פעולה שהכניסה לתוקף: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impering, Anti-phishing spoof, Anti-phishing graph graph imperson, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
מזהה ייחודי עבור המדיניות שקבעה את פעולת הדואר הסופית |
AuthenticationDetails |
string |
רשימת גזרי דין של מעבר או כשל לפי פרוטוקולי אימות דואר אלקטרוני כגון DMARC, DKIM, SPF או שילוב של סוגי אימות מרובים (CompAuth) |
AttachmentCount |
int |
מספר הקבצים המצורפים בהודעת הדואר האלקטרוני |
UrlCount |
int |
מספר כתובות ה- URL המוטבעות בהודעת הדואר האלקטרוני |
EmailLanguage |
string |
זוהתה שפה של תוכן הדואר האלקטרוני |
Connectors |
string |
הוראות מותאמות אישית המגדירות זרימת דואר ארגוני ואופן ניתוב הדואר האלקטרוני |
OrgLevelAction |
string |
הפעולה שננקטה בהודעת הדואר האלקטרוני בתגובה להתאמות למדיניות המוגדרת ברמה הארגונית |
OrgLevelPolicy |
string |
מדיניות ארגונית שהפעילה את הפעולה שבוצעה בהודעת הדואר האלקטרוני |
UserLevelAction |
string |
הפעולה שננקטה בהודעת הדואר האלקטרוני בתגובה להתאמות למדיניות תיבת דואר שהוגדרה על-ידי הנמען |
UserLevelPolicy |
string |
מדיניות תיבות דואר של משתמש קצה שהפעילה את הפעולה שבוצעה בהודעת הדואר האלקטרוני |
ReportId |
string |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AdditionalFields |
string |
מידע נוסף אודות הישות או האירוע |
LatestDeliveryLocation* |
string |
המיקום הידוע האחרון של הודעת הדואר האלקטרוני |
LatestDeliveryAction* |
string |
הפעולה האחרונה שהיתה ידועה ניסתה לבצע בדואר אלקטרוני על-ידי השירות או על-ידי מנהל מערכת באמצעות תיקון ידני |
הערה
* העמודות LatestDeliveryLocationLatestDeliveryActionוהעמודות אינן זמינות ב- API של Streaming.
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.