EmailAttachmentInfo 테이블에 대한 쿼리
악의적인 보낸 사람으로부터의 파일
선택한 시간 프레임에 organization 악의적인 발신자가 보낸 파일의 첫 번째 모양을 찾습니다. 이전 모양을 보려면 선택한 시간 범위를 늘리세요.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
첨부 파일이 있는 외부 도메인에 대한 전자 메일
첨부 파일이 포함된 외부 도메인으로 전송된 전자 메일입니다.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기