Condividi tramite


EmailEvents

Si applica a:

  • Microsoft Defender XDR

La EmailEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi che coinvolgono l'elaborazione dei messaggi di posta elettronica in Microsoft Defender per Office 365. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Consiglio

Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora di registrazione dell'evento
NetworkMessageId string Identificatore univoco per il messaggio di posta elettronica, generato da Microsoft 365
InternetMessageId string Identificatore pubblico per il messaggio di posta elettronica impostato dal sistema di invio
SenderMailFromAddress string Indirizzo di posta elettronica del mittente nell'intestazione MITTENTE, noto anche come mittente della busta o indirizzo di ritorno
SenderFromAddress string Indirizzo di posta elettronica del mittente nell'intestazione DA, visibile ai destinatari del messaggio sui propri client di posta elettronica
SenderDisplayName string Nome del mittente visualizzato nella rubrica, in genere una combinazione di nome o nome, iniziale centrale e cognome o cognome
SenderObjectId string Identificatore univoco per l'account del mittente in Microsoft Entra ID
SenderMailFromDomain string Dominio del mittente nell'intestazione MITTENTE, noto anche come mittente della busta o indirizzo di ritorno
SenderFromDomain string Dominio del mittente nell'intestazione DA, visibile ai destinatari sul proprio client di posta elettronica
SenderIPv4 string Indirizzo IPV4 dell'ultimo server di posta rilevato che ha inoltrato il messaggio
SenderIPv6 string Indirizzo IPV6 dell'ultimo server di posta rilevato che ha inoltrato il messaggio
RecipientEmailAddress string Indirizzo di posta elettronica del destinatario o indirizzo di posta elettronica del destinatario dopo l'espansione della lista di distribuzione
RecipientObjectId string Identificatore univoco per il destinatario di posta elettronica in Microsoft Entra ID
Subject string Oggetto del messaggio di posta elettronica
EmailClusterId long Identificatore del gruppo di messaggi di posta elettronica simili raggruppati in base a un'analisi euristica del contenuto
EmailDirection string Direzione del messaggio di posta elettronica relativo alla rete: in ingresso, in uscita, all'interno dell'organizzazione
DeliveryAction string Azioni di recapito del messaggio di posta elettronica: consegnato, inserito nella posta indesiderata, bloccato o sostituito
DeliveryLocation string Posizione di recapito del messaggio di posta elettronica: cartella Posta in arrivo, locale/esterno, Posta indesiderata, Quarantena, invio non riuscito, non elaborato, Elementi eliminati
ThreatTypes string Verdetto dello stack di filtro della posta elettronica in base al fatto che il messaggio di posta elettronica contenga malware, phishing o altre minacce
ThreatNames string Nome del rilevamento per malware o altre minacce rilevate
DetectionMethods string Metodi usati per rilevare malware, phishing o altre minacce presenti nel messaggio di posta elettronica
ConfidenceLevel string Elenco dei livelli di attendibilità di eventuali verdetti di posta indesiderata o phishing. Per la posta indesiderata, questa colonna mostra il livello di attendibilità della posta indesiderata (SCL), che indica se l'e-mail è stata ignorata (-1), risultata non spam (0,1), rilevata come posta indesiderata con attendibilità moderata (5,6) o rilevata come posta indesiderata con attendibilità elevata (9). Per il phishing, questa colonna indica se il livello di attendibilità è "Alto" o "Basso".
BulkComplaintLevel int Soglia assegnata alla posta elettronica da mailer bulk, un livello di reclamo in blocco elevato (BCL) significa che l'e-mail è più probabile generare reclami, e quindi più probabilità di essere spam
EmailAction string Azione finale eseguita sul messaggio di posta elettronica in base al verdetto del filtro, ai criteri e alle azioni dell'utente: Spostare il messaggio nella cartella posta indesiderata, Aggiungere X-header, Modificare l'oggetto, Reindirizzare il messaggio, Eliminare il messaggio, inviare in quarantena, Nessuna azione eseguita, Messaggio ccn
EmailActionPolicy string Criteri di azione che hanno avuto effetto: filtro posta indesiderata con alta confidenza, filtro posta indesiderata, filtro posta indesiderata per la posta inviata in blocco, filtro posta indesiderata per il phishing, imitazione dominio anti-phishing, imitazione utente anti-phishing, spoofing anti-phishing, imitazione grafico anti-phishing, anti-malware, allegati sicuri, regole del flusso di posta (ETR)
EmailActionPolicyGuid string Identificatore univoco dei criteri che hanno determinato l'azione finale per la posta
AuthenticationDetails string Elenco di verdetti superati o non riusciti da protocolli di autenticazione tramite posta elettronica come DMARC, DKIM, SPF o una combinazione di più tipi di autenticazione (CompAuth)
AttachmentCount int Numero degli allegati nel messaggio di posta elettronica
UrlCount int Numero di URL incorporati nel messaggio di posta elettronica
EmailLanguage string Lingua del contenuto del messaggio di posta elettronica rilevata
Connectors string Istruzioni personalizzate che definiscono il flusso di posta aziendale e il modo in cui è stato instradato il messaggio di posta elettronica
OrgLevelAction string Azione eseguita sul messaggio di posta elettronica in risposta a corrispondenze a un criterio definito a livello aziendale
OrgLevelPolicy string Criteri dell'organizzazione che hanno attivato l'azione eseguita sul messaggio di posta elettronica
UserLevelAction string Azione eseguita sul messaggio di posta elettronica in risposta alle corrispondenze a un criterio cassetta postale definito dal destinatario
UserLevelPolicy string Criteri cassetta postale dell'utente finale che hanno attivato l'azione eseguita sul messaggio di posta elettronica
ReportId string Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp.
AdditionalFields string Informazioni aggiuntive sull'entità o sull'evento
LatestDeliveryLocation* string Ultima posizione nota del messaggio di posta elettronica
LatestDeliveryAction* string Ultima azione nota tentata su un messaggio di posta elettronica dal servizio o da un amministratore tramite correzione manuale

Nota

* Le LatestDeliveryLocation colonne e LatestDeliveryActionnon sono disponibili nell'API di streaming.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.