EmailEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A EmailEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz a Office 365-höz készült Microsoft Defender e-mailjeinek feldolgozását érintő eseményekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
NetworkMessageId |
string |
A Microsoft 365 által létrehozott e-mail egyedi azonosítója |
InternetMessageId |
string |
A küldő levelezőrendszer által beállított e-mail nyilvános elérésű azonosítója |
SenderMailFromAddress |
string |
Feladó e-mail címe a MAIL FROM fejlécben, más néven a boríték feladója vagy a Return-Path címe |
SenderFromAddress |
string |
Feladó e-mail címe a FELADÓ fejlécben, amely az e-mail címzettjei számára látható az e-mail ügyfeleken |
SenderDisplayName |
string |
A feladó neve a címjegyzékben, általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja |
SenderObjectId |
string |
A feladó fiókjának egyedi azonosítója a Microsoft Entra ID |
SenderMailFromDomain |
string |
Sender domain in the MAIL FROM header, más néven a boríték feladója vagy a Return-Path címe |
SenderFromDomain |
string |
Feladó tartománya a FROM fejlécben, amely az e-mail címzettjei számára látható az e-mail ügyfeleken |
SenderIPv4 |
string |
Az üzenetet továbbító utolsó észlelt levelezési kiszolgáló IPv4-címe |
SenderIPv6 |
string |
Az üzenetet továbbító utolsó észlelt levelezési kiszolgáló IPv6-címe |
RecipientEmailAddress |
string |
Email címzett címe vagy a címzett e-mail-címe a terjesztési lista bővítése után |
RecipientObjectId |
string |
Az e-mail címzettjének egyedi azonosítója a Microsoft Entra ID |
Subject |
string |
Az e-mail tárgya |
EmailClusterId |
long |
Hasonló e-mailek csoportjának azonosítója a tartalmuk heurisztikus elemzése alapján csoportosítva |
EmailDirection |
string |
Az e-mail iránya a hálózathoz viszonyítva: Bejövő, kimenő, szervezeten belüli |
DeliveryAction |
string |
Az e-mail kézbesítési művelete: Kézbesítve, Levélszemét, Letiltva vagy Lecserélve |
DeliveryLocation |
string |
Az e-mail kézbesítési helye: Beérkezett üzenetek/Mappa, Helyszíni/Külső, Levélszemét, Karantén, Sikertelen, Elvetve, Törölt elemek |
ThreatTypes |
string |
Az e-mail-szűrési verem ítélete arról, hogy az e-mail kártevőt, adathalászatot vagy más fenyegetést tartalmaz-e |
ThreatNames |
string |
A talált kártevők vagy egyéb fenyegetések észlelési neve |
DetectionMethods |
string |
Az e-mailben talált kártevők, adathalászat és egyéb fenyegetések észlelésére használt módszerek |
ConfidenceLevel |
string |
A levélszemét- vagy adathalászati ítéletek megbízhatósági szintjeinek listája. Levélszemét esetén ez az oszlop a levélszemét megbízhatósági szintjét (SCL) jeleníti meg, amely azt jelzi, hogy az e-mail kihagyva lett-e (-1), nem levélszemét-e (0,1), mérsékelt megbízhatóságú levélszemétnek (5,6), vagy magas megbízhatóságú levélszemétnek (9). Adathalászat esetén ez az oszlop azt jeleníti meg, hogy a megbízhatósági szint "Magas" vagy "Alacsony". |
BulkComplaintLevel |
int |
A tömeges levélküldőktől érkező e-mailekhez rendelt küszöbérték, a magas tömeges panaszszint (BCL) azt jelenti, hogy az e-mail nagyobb valószínűséggel hoz létre panaszokat, és így nagyobb valószínűséggel lesz levélszemét |
EmailAction |
string |
Az e-mailen végrehajtott utolsó művelet a szűrési ítélet, a szabályzatok és a felhasználói műveletek alapján: Üzenet áthelyezése a levélszemét mappájába, X-fejléc hozzáadása, Tárgy módosítása, Átirányítási üzenet, Üzenet törlése, Küldés karanténba, Nincs művelet, Titkos másolat üzenet |
EmailActionPolicy |
string |
Életbe lépett műveletszabályzat: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain megszemélyesítés, Adathalászat elleni felhasználói megszemélyesítés, Adathalászat elleni hamisítás, Adathalászat elleni gráf megszemélyesítése, Kártevőirtó, Biztonságos mellékletek, Vállalati átviteli szabályok (ETR) |
EmailActionPolicyGuid |
string |
A végleges levelezési műveletet meghatározó házirend egyedi azonosítója |
AuthenticationDetails |
string |
A sikeres vagy sikertelen ítéletek listája e-mailes hitelesítési protokollok , például DMARC, DKIM, SPF vagy több hitelesítési típus (CompAuth) kombinációjával |
AttachmentCount |
int |
Az e-mailben található mellékletek száma |
UrlCount |
int |
Beágyazott URL-címek száma az e-mailben |
EmailLanguage |
string |
Az e-mail-tartalom észlelt nyelve |
Connectors |
string |
Egyéni utasítások, amelyek meghatározzák a szervezeti e-mail-forgalmat és az e-mail átirányításának módját |
OrgLevelAction |
string |
Az e-mailen végrehajtott művelet a szervezeti szinten meghatározott szabályzatnak megfelelő válaszként |
OrgLevelPolicy |
string |
Az e-mailben végrehajtott műveletet aktiváló szervezeti szabályzat |
UserLevelAction |
string |
Az e-mailen a címzett által meghatározott postaláda-házirendnek megfelelő művelet |
UserLevelPolicy |
string |
Végfelhasználói postaláda-házirend, amely aktiválta az e-mailben végrehajtott műveletet |
ReportId |
string |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AdditionalFields |
string |
További információ az entitásról vagy eseményről |
LatestDeliveryLocation* |
string |
Az e-mail utolsó ismert helye |
LatestDeliveryAction* |
string |
A szolgáltatás vagy egy rendszergazda által manuális szervizelés útján e-mailben megkísérelt utolsó ismert művelet |
Megjegyzés:
* A LatestDeliveryLocation és LatestDeliveryAction az oszlop nem érhető el a Streaming API-ban.
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: