EmailEvents
Si applica a:
- Microsoft Defender XDR
La EmailEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi che coinvolgono l'elaborazione dei messaggi di posta elettronica in Microsoft Defender per Office 365. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
NetworkMessageId |
string |
Identificatore univoco per il messaggio di posta elettronica, generato da Microsoft 365 |
InternetMessageId |
string |
Identificatore pubblico per il messaggio di posta elettronica impostato dal sistema di invio |
SenderMailFromAddress |
string |
Indirizzo di posta elettronica del mittente nell'intestazione MITTENTE, noto anche come mittente della busta o indirizzo di ritorno |
SenderFromAddress |
string |
Indirizzo di posta elettronica del mittente nell'intestazione DA, visibile ai destinatari del messaggio sui propri client di posta elettronica |
SenderDisplayName |
string |
Nome del mittente visualizzato nella rubrica, in genere una combinazione di nome o nome, iniziale centrale e cognome o cognome |
SenderObjectId |
string |
Identificatore univoco per l'account del mittente in Microsoft Entra ID |
SenderMailFromDomain |
string |
Dominio del mittente nell'intestazione MITTENTE, noto anche come mittente della busta o indirizzo di ritorno |
SenderFromDomain |
string |
Dominio del mittente nell'intestazione DA, visibile ai destinatari sul proprio client di posta elettronica |
SenderIPv4 |
string |
Indirizzo IPV4 dell'ultimo server di posta rilevato che ha inoltrato il messaggio |
SenderIPv6 |
string |
Indirizzo IPV6 dell'ultimo server di posta rilevato che ha inoltrato il messaggio |
RecipientEmailAddress |
string |
Indirizzo di posta elettronica del destinatario o indirizzo di posta elettronica del destinatario dopo l'espansione della lista di distribuzione |
RecipientObjectId |
string |
Identificatore univoco per il destinatario di posta elettronica in Microsoft Entra ID |
Subject |
string |
Oggetto del messaggio di posta elettronica |
EmailClusterId |
long |
Identificatore del gruppo di messaggi di posta elettronica simili raggruppati in base a un'analisi euristica del contenuto |
EmailDirection |
string |
Direzione del messaggio di posta elettronica relativo alla rete: in ingresso, in uscita, all'interno dell'organizzazione |
DeliveryAction |
string |
Azioni di recapito del messaggio di posta elettronica: consegnato, inserito nella posta indesiderata, bloccato o sostituito |
DeliveryLocation |
string |
Posizione di recapito del messaggio di posta elettronica: cartella Posta in arrivo, locale/esterno, Posta indesiderata, Quarantena, invio non riuscito, non elaborato, Elementi eliminati |
ThreatTypes |
string |
Verdetto dello stack di filtro della posta elettronica in base al fatto che il messaggio di posta elettronica contenga malware, phishing o altre minacce |
ThreatNames |
string |
Nome del rilevamento per malware o altre minacce rilevate |
DetectionMethods |
string |
Metodi usati per rilevare malware, phishing o altre minacce presenti nel messaggio di posta elettronica |
ConfidenceLevel |
string |
Elenco dei livelli di attendibilità di eventuali verdetti di posta indesiderata o phishing. Per la posta indesiderata, questa colonna mostra il livello di attendibilità della posta indesiderata (SCL), che indica se l'e-mail è stata ignorata (-1), risultata non spam (0,1), rilevata come posta indesiderata con attendibilità moderata (5,6) o rilevata come posta indesiderata con attendibilità elevata (9). Per il phishing, questa colonna indica se il livello di attendibilità è "Alto" o "Basso". |
BulkComplaintLevel |
int |
Soglia assegnata alla posta elettronica da mailer bulk, un livello di reclamo in blocco elevato (BCL) significa che l'e-mail è più probabile generare reclami, e quindi più probabilità di essere spam |
EmailAction |
string |
Azione finale eseguita sul messaggio di posta elettronica in base al verdetto del filtro, ai criteri e alle azioni dell'utente: Spostare il messaggio nella cartella posta indesiderata, Aggiungere X-header, Modificare l'oggetto, Reindirizzare il messaggio, Eliminare il messaggio, inviare in quarantena, Nessuna azione eseguita, Messaggio ccn |
EmailActionPolicy |
string |
Criteri di azione che hanno avuto effetto: filtro posta indesiderata con alta confidenza, filtro posta indesiderata, filtro posta indesiderata per la posta inviata in blocco, filtro posta indesiderata per il phishing, imitazione dominio anti-phishing, imitazione utente anti-phishing, spoofing anti-phishing, imitazione grafico anti-phishing, anti-malware, allegati sicuri, regole del flusso di posta (ETR) |
EmailActionPolicyGuid |
string |
Identificatore univoco dei criteri che hanno determinato l'azione finale per la posta |
AuthenticationDetails |
string |
Elenco di verdetti superati o non riusciti da protocolli di autenticazione tramite posta elettronica come DMARC, DKIM, SPF o una combinazione di più tipi di autenticazione (CompAuth) |
AttachmentCount |
int |
Numero degli allegati nel messaggio di posta elettronica |
UrlCount |
int |
Numero di URL incorporati nel messaggio di posta elettronica |
EmailLanguage |
string |
Lingua del contenuto del messaggio di posta elettronica rilevata |
Connectors |
string |
Istruzioni personalizzate che definiscono il flusso di posta aziendale e il modo in cui è stato instradato il messaggio di posta elettronica |
OrgLevelAction |
string |
Azione eseguita sul messaggio di posta elettronica in risposta a corrispondenze a un criterio definito a livello aziendale |
OrgLevelPolicy |
string |
Criteri dell'organizzazione che hanno attivato l'azione eseguita sul messaggio di posta elettronica |
UserLevelAction |
string |
Azione eseguita sul messaggio di posta elettronica in risposta alle corrispondenze a un criterio cassetta postale definito dal destinatario |
UserLevelPolicy |
string |
Criteri cassetta postale dell'utente finale che hanno attivato l'azione eseguita sul messaggio di posta elettronica |
ReportId |
string |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
AdditionalFields |
string |
Informazioni aggiuntive sull'entità o sull'evento |
LatestDeliveryLocation* |
string |
Ultima posizione nota del messaggio di posta elettronica |
LatestDeliveryAction* |
string |
Ultima azione nota tentata su un messaggio di posta elettronica dal servizio o da un amministratore tramite correzione manuale |
Nota
* Le LatestDeliveryLocation colonne e LatestDeliveryActionnon sono disponibili nell'API di streaming.
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.