高度なハンティング スキーマのEmailPostDeliveryEvents テーブルには、Microsoft 365 によって処理された電子メール メッセージに対して実行される配信後のアクションに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
この高度なハンティング テーブルは、Defender for Office 365のレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRでDefender for Office 365をデプロイする方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。
個々の電子メール メッセージの詳細を取得するには、 EmailEvents、 EmailAttachmentInfo、および EmailUrlInfo テーブルを使用することもできます。 高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
NetworkMessageId |
string |
Microsoft 365 によって生成された電子メールの一意の識別子 |
InternetMessageId |
string |
送信メール システムにより設定された、メールの一般向けの識別子 |
Action |
string |
エンティティに対して実行されるアクション |
ActionType |
string |
イベントをトリガーしたアクティビティの種類: 手動修復、フィッシング ZAP、マルウェア ZAP |
ActionTrigger |
string |
アクションが管理者 (手動でトリガーされたか、保留中の自動アクションの承認によってトリガーされたか) か、ZAP や動的配信などの特別なメカニズムによってトリガーされたかを示します。 |
ActionResult |
string |
アクションの結果 |
RecipientEmailAddress |
string |
受信者のメール アドレス、または配布リストの展開後の受信者のメール アドレス |
DeliveryLocation |
string |
メールの配信場所: 受信トレイ/フォルダー、オンプレミス/外部、迷惑メール、検疫、失敗、中断、削除済みアイテム |
ThreatTypes |
string |
電子メールにマルウェア、フィッシング、またはその他の脅威が含まれているかどうかに関する電子メール フィルタリング スタックからの判定 |
DetectionMethods |
string |
電子メールで検出されたマルウェア、フィッシング、またはその他の脅威を検出するために使用される方法 |
ReportId |
string |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
サポートされているイベントの種類
この表では、次の ActionType 値を使用してイベントをキャプチャします。
- 手動修復 – 管理者は、ユーザー メールボックスに配信された後、電子メール メッセージに対して手動でアクションを実行しました。 これには、脅威エクスプローラーまたは自動調査と対応 (AIR) アクションの承認を通じて手動で実行されるアクションが含まれます。
- フィッシング ZAP – 0 時間の自動消去 (ZAP) は、配信後にフィッシング メールに対してアクションを実行しました。
- マルウェア ZAP – 0 時間の自動消去 (ZAP) は、配信後にマルウェアが含まれている電子メール メッセージに対してアクションを実行しました。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。