Bagikan melalui


Kueri untuk tabel EmailAttachmentInfo

File dari pengirim berbahaya

Menemukan tampilan pertama file yang dikirim oleh pengirim berbahaya di organisasi Anda pada jangka waktu yang dipilih. Untuk melihat penampilan sebelumnya, tingkatkan rentang waktu yang dipilih.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Email ke domain eksternal dengan lampiran

Email yang dikirim ke domain eksternal yang menyertakan lampiran.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000