Kueri untuk tabel EmailAttachmentInfo
File dari pengirim berbahaya
Menemukan tampilan pertama file yang dikirim oleh pengirim berbahaya di organisasi Anda pada jangka waktu yang dipilih. Untuk melihat penampilan sebelumnya, tingkatkan rentang waktu yang dipilih.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
Email ke domain eksternal dengan lampiran
Email yang dikirim ke domain eksternal yang menyertakan lampiran.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk