Del via


EmailEvents

Gjelder for:

  • Microsoft Defender XDR

Tabellen EmailEvents i det avanserte jaktskjemaet inneholder informasjon om hendelser som involverer behandling av e-postmeldinger på Microsoft Defender for Office 365. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Tips

Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett hendelsen ble registrert
NetworkMessageId string Unik identifikator for e-postmeldingen, generert av Microsoft 365
InternetMessageId string Offentlig identifikator for e-postmeldingen som angis av det sendende e-postsystemet
SenderMailFromAddress string Avsenderens e-postadresse i E-POST FRA-toppteksten, også kjent som konvoluttavsenderen eller Return-Path-adressen
SenderFromAddress string Avsenderens e-postadresse i FROM-toppteksten, som er synlig for e-postmottakere på e-postklienter
SenderDisplayName string Navnet på avsenderen som vises i adresseboken, vanligvis en kombinasjon av et gitt eller fornavn, en initial for midten og et etternavn eller etternavn
SenderObjectId string Unik identifikator for avsenderens konto i Microsoft Entra ID
SenderMailFromDomain string Avsenderdomene i E-POST FRA-toppteksten, også kjent som konvoluttavsenderen eller Return-Path-adressen
SenderFromDomain string Avsenderdomene i FROM-toppteksten, som er synlig for e-postmottakere på e-postklienter
SenderIPv4 string IPv4-adressen til den sist registrerte e-postserveren som videresendte meldingen
SenderIPv6 string IPv6-adressen til den siste registrerte e-postserveren som videresendte meldingen
RecipientEmailAddress string E-postadressen til mottakeren eller e-postadressen til mottakeren etter utvidelse av distribusjonslisten
RecipientObjectId string Unik identifikator for e-postmottakeren i Microsoft Entra ID
Subject string Emne for e-postmeldingen
EmailClusterId long Identifikator for gruppen med lignende e-postmeldinger gruppert basert på heuristikk analyse av innholdet
EmailDirection string Retningen på e-postmeldingen i forhold til nettverket: Innkommende, Utgående, Intra-org
DeliveryAction string Leveringshandling for e-postmeldingen: Levert, Søppelpost, Blokkert eller Erstattet
DeliveryLocation string Plassering der e-postmeldingen ble levert: Innboks/mappe, Lokal/Ekstern, Søppelpost, Karantene, Mislykket, Droppet, Slettede elementer
ThreatTypes string Dommen fra e-postfiltreringsstakken om e-postmeldingen inneholder skadelig programvare, phishing eller andre trusler
ThreatNames string Gjenkjenningsnavn for skadelig programvare eller andre trusler funnet
DetectionMethods string Metoder som brukes til å oppdage skadelig programvare, phishing eller andre trusler som finnes i e-postmeldingen
ConfidenceLevel string Liste over konfidensnivåer for eventuelle meldinger om søppelpost eller phishing. For søppelpost viser denne kolonnen konfidensnivået for søppelpost (SCL), som indikerer om e-postmeldingen ble hoppet over (-1), funnet å være ikke søppelpost (0,1), funnet å være søppelpost med moderat tillit (5,6), eller funnet å være søppelpost med høy visshet (9). For phishing viser denne kolonnen om konfidensnivået er «Høy» eller «Lav».
BulkComplaintLevel int Terskel tilordnet til e-post fra masseutsendere, et høyt nivå for masseklager (BCL) betyr at e-postmeldingen er mer sannsynlig å generere klager, og dermed mer sannsynlig å være søppelpost
EmailAction string Endelig handling utført på e-postmeldingen basert på filterdom, policyer og brukerhandlinger: Flytt melding til søppelpostmappen, Legg til X-topptekst, Endre emne, Omadresser melding, Slett melding, Send til karantene, Ingen handling utført, Blindkopi-melding
EmailActionPolicy string Handlingspolicy som trådte i kraft: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR)
EmailActionPolicyGuid string Unik identifikator for policyen som avgjorde den endelige e-posthandlingen
AuthenticationDetails string Liste over beståtte eller mislykkede dommer via e-postgodkjenningsprotokoller som DMARC, DKIM, SPF eller en kombinasjon av flere godkjenningstyper (CompAuth)
AttachmentCount int Antall vedlegg i e-postmeldingen
UrlCount int Antall innebygde nettadresser i e-postmeldingen
EmailLanguage string Oppdaget språk for e-postinnholdet
Connectors string Egendefinerte instruksjoner som definerer organisasjonens e-postflyt og hvordan e-postmeldingen ble rutet
OrgLevelAction string Handling utført på e-postmeldingen som svar på samsvar med en policy som er definert på organisasjonsnivå
OrgLevelPolicy string Organisasjonspolicy som utløste handlingen som ble utført på e-postmeldingen
UserLevelAction string Handling utført på e-postmeldingen som svar på samsvar med en postbokspolicy definert av mottakeren
UserLevelPolicy string Postbokspolicy for sluttbrukere som utløste handlingen som ble utført på e-postmeldingen
ReportId string Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser.
AdditionalFields string Tilleggsinformasjon om enheten eller hendelsen
LatestDeliveryLocation* string Siste kjente plassering av e-postmeldingen
LatestDeliveryAction* string Siste kjente handling forsøkt på en e-post av tjenesten eller av en administrator gjennom manuell utbedring

Obs!

* Kolonnene LatestDeliveryLocation og LatestDeliveryAction er ikke tilgjengelige i API-en for strømming.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.