EmailEvents
적용 대상:
- Microsoft Defender XDR
고급 헌팅 스키마의 테이블에는 EmailEvents Office 365용 Microsoft Defender 전자 메일 처리와 관련된 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
NetworkMessageId |
string |
Microsoft 365에서 생성된 전자 메일의 고유 식별자 |
InternetMessageId |
string |
보내는 전자 메일 시스템에서 설정한 전자 메일의 공개 식별자 |
SenderMailFromAddress |
string |
보낸 사람 머리글의 보낸 사람 전자 메일 주소(봉투의 보낸 사람 또는 반송 경로 주소라고도 함) |
SenderFromAddress |
string |
전자 메일 클라이언트의 전자 메일 수신자에게 표시되는 FROM 머리글의 발신자 전자 메일 주소 |
SenderDisplayName |
string |
주소록에 표시되는 보낸 사람의 이름( 일반적으로 지정된 이름 또는 이름, 중간 이니셜, 성 또는 성의 조합) |
SenderObjectId |
string |
Microsoft Entra ID 보낸 사람의 계정에 대한 고유 식별자 |
SenderMailFromDomain |
string |
보낸 사람 머리글의 보낸 사람 도메인(봉투의 보낸 사람 또는 반송 경로 주소라고도 함) |
SenderFromDomain |
string |
전자 메일 클라이언트의 전자 메일 수신자에게 표시되는 FROM 머리글의 발신자 도메인 |
SenderIPv4 |
string |
메시지를 전달한 마지막 검색 메일 서버의 IPv4 주소 |
SenderIPv6 |
string |
메시지를 전달한 마지막 검색 메일 서버의 IPv6 주소 |
RecipientEmailAddress |
string |
받는 사람의 전자 메일 주소 또는 메일 그룹 확장 후 받는 사람의 전자 메일 주소 |
RecipientObjectId |
string |
Microsoft Entra ID 전자 메일 받는 사람에 대한 고유 식별자 |
Subject |
string |
전자 메일 제목 |
EmailClusterId |
long |
콘텐츠의 휴리스틱 분석을 기반으로 클러스터된 비슷한 전자 메일 그룹의 식별자 |
EmailDirection |
string |
네트워크를 기준으로 하는 전자 메일의 방향: 인바운드, 아웃바운드, 조직 내 |
DeliveryAction |
string |
전자 메일 전송 작업: 전달됨, 정크 메일함으로 전송됨, 차단됨 또는 대체됨 |
DeliveryLocation |
string |
전자 메일이 전송된 위치: 받은 편지함/폴더, 온-프레미스/외부, 정크, 격리, 실패, 중단, 삭제된 항목 |
ThreatTypes |
string |
전자 메일에 맬웨어, 피싱 또는 기타 위협이 포함되어 있는지 여부에 대한 이메일 필터링 스택의 평결 |
ThreatNames |
string |
발견된 맬웨어 또는 기타 위협에 대한 검색 이름 |
DetectionMethods |
string |
전자 메일에 있는 맬웨어, 피싱 또는 기타 위협을 검색하는 데 사용되는 방법 |
ConfidenceLevel |
string |
스팸 또는 피싱 평결의 신뢰도 수준 목록입니다. 스팸의 경우 이 열은 전자 메일을 건너뛰거나(-1), 스팸이 아닌 것으로 확인됨(0,1), 보통 신뢰도(5,6)를 가진 스팸으로 확인되거나(9) 높은 신뢰도를 가진 스팸으로 확인되었는지를 나타내는 SCL(스팸 신뢰도 수준)을 표시합니다. 피싱의 경우 이 열은 신뢰도가 "높음" 또는 "낮음"인지 여부를 표시합니다. |
BulkComplaintLevel |
int |
대량 메일러의 전자 메일에 할당된 임계값, 높은 대량 불만 수준(BCL)은 이메일이 불만을 생성할 가능성이 높으므로 스팸일 가능성이 더 높다는 것을 의미합니다. |
EmailAction |
string |
필터 평결, 정책 및 사용자 작업에 따라 전자 메일에서 수행된 최종 작업: 정크 메일 폴더로 메시지 이동, X 헤더 추가, 제목 수정, 메시지 리디렉션, 메시지 삭제, 격리로 보내기, 수행된 작업 없음, 숨은 참조 메시지 |
EmailActionPolicy |
string |
적용된 작업 정책: 스팸 방지 높은 신뢰감, 스팸 방지, 스팸 방지 대량 메일, 스팸 방지 피싱, 피싱 방지 도메인 가장, 피싱 방지 사용자 가장, 피싱 방지 스푸핑, 피싱 방지 그래프 가장, 멜웨어 방지, 안전 첨부 파일, 엔터프라이즈 전송 규칙(ETR) |
EmailActionPolicyGuid |
string |
마지막 메일 작업을 결정한 정책의 고유 식별자 |
AuthenticationDetails |
string |
DMARC, DKIM, SPF 또는 여러 인증 유형 조합(CompAuth)과 같은 이메일 인증 프로토콜별 통과 또는 실패 평결 목록 |
AttachmentCount |
int |
전자 메일의 첨부 파일 수 |
UrlCount |
int |
전자 메일에 포함된 URL의 수 |
EmailLanguage |
string |
검색된 전자 메일 콘텐츠의 언어 |
Connectors |
string |
조직 메일 흐름 및 전자 메일 라우팅 방법을 정의하는 사용자 지정 지침 |
OrgLevelAction |
string |
조직 수준에서 정의된 정책과 일치하는 항목에 대한 응답으로 전자 메일에 대해 수행된 작업 |
OrgLevelPolicy |
string |
전자 메일에서 수행된 작업을 트리거한 조직 정책 |
UserLevelAction |
string |
받는 사람이 정의한 사서함 정책과 일치하는 항목에 대한 응답으로 전자 메일에 대해 수행된 작업 |
UserLevelPolicy |
string |
전자 메일에서 수행된 작업을 트리거한 최종 사용자 사서함 정책 |
ReportId |
string |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
AdditionalFields |
string |
엔터티 또는 이벤트에 대한 추가 정보 |
LatestDeliveryLocation* |
string |
전자 메일의 마지막으로 알려진 위치 |
LatestDeliveryAction* |
string |
수동 수정을 통해 서비스 또는 관리자가 전자 메일에서 마지막으로 시도한 작업 |
참고
* 및 LatestDeliveryAction 열은 LatestDeliveryLocation 스트리밍 API에서 사용할 수 없습니다.
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.