EmailEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen EmailEvents
i det avanserte jaktskjemaet inneholder informasjon om hendelser som involverer behandling av e-postmeldinger på Microsoft Defender for Office 365. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionType
verdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
NetworkMessageId |
string |
Unik identifikator for e-postmeldingen, generert av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifikator for e-postmeldingen som angis av det sendende e-postsystemet |
SenderMailFromAddress |
string |
Avsenderens e-postadresse i E-POST FRA-toppteksten, også kjent som konvoluttavsenderen eller Return-Path-adressen |
SenderFromAddress |
string |
Avsenderens e-postadresse i FROM-toppteksten, som er synlig for e-postmottakere på e-postklienter |
SenderDisplayName |
string |
Navnet på avsenderen som vises i adresseboken, vanligvis en kombinasjon av et gitt eller fornavn, en initial for midten og et etternavn eller etternavn |
SenderObjectId |
string |
Unik identifikator for avsenderens konto i Microsoft Entra ID |
SenderMailFromDomain |
string |
Avsenderdomene i E-POST FRA-toppteksten, også kjent som konvoluttavsenderen eller Return-Path-adressen |
SenderFromDomain |
string |
Avsenderdomene i FROM-toppteksten, som er synlig for e-postmottakere på e-postklienter |
SenderIPv4 |
string |
IPv4-adressen til den sist registrerte e-postserveren som videresendte meldingen |
SenderIPv6 |
string |
IPv6-adressen til den siste registrerte e-postserveren som videresendte meldingen |
RecipientEmailAddress |
string |
E-postadressen til mottakeren eller e-postadressen til mottakeren etter utvidelse av distribusjonslisten |
RecipientObjectId |
string |
Unik identifikator for e-postmottakeren i Microsoft Entra ID |
Subject |
string |
Emne for e-postmeldingen |
EmailClusterId |
long |
Identifikator for gruppen med lignende e-postmeldinger gruppert basert på heuristikk analyse av innholdet |
EmailDirection |
string |
Retningen på e-postmeldingen i forhold til nettverket: Innkommende, Utgående, Intra-org |
DeliveryAction |
string |
Leveringshandling for e-postmeldingen: Levert, Søppelpost, Blokkert eller Erstattet |
DeliveryLocation |
string |
Plassering der e-postmeldingen ble levert: Innboks/mappe, Lokal/Ekstern, Søppelpost, Karantene, Mislykket, Droppet, Slettede elementer |
ThreatTypes |
string |
Dommen fra e-postfiltreringsstakken om e-postmeldingen inneholder skadelig programvare, phishing eller andre trusler |
ThreatNames |
string |
Gjenkjenningsnavn for skadelig programvare eller andre trusler funnet |
DetectionMethods |
string |
Metoder som brukes til å oppdage skadelig programvare, phishing eller andre trusler som finnes i e-postmeldingen |
ConfidenceLevel |
string |
Liste over konfidensnivåer for eventuelle meldinger om søppelpost eller phishing. For søppelpost viser denne kolonnen konfidensnivået for søppelpost (SCL), som indikerer om e-postmeldingen ble hoppet over (-1), funnet å være ikke søppelpost (0,1), funnet å være søppelpost med moderat tillit (5,6), eller funnet å være søppelpost med høy visshet (9). For phishing viser denne kolonnen om konfidensnivået er «Høy» eller «Lav». |
BulkComplaintLevel |
int |
Terskel tilordnet til e-post fra masseutsendere, et høyt nivå for masseklager (BCL) betyr at e-postmeldingen er mer sannsynlig å generere klager, og dermed mer sannsynlig å være søppelpost |
EmailAction |
string |
Endelig handling utført på e-postmeldingen basert på filterdom, policyer og brukerhandlinger: Flytt melding til søppelpostmappen, Legg til X-topptekst, Endre emne, Omadresser melding, Slett melding, Send til karantene, Ingen handling utført, Blindkopi-melding |
EmailActionPolicy |
string |
Handlingspolicy som trådte i kraft: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Unik identifikator for policyen som avgjorde den endelige e-posthandlingen |
AuthenticationDetails |
string |
Liste over beståtte eller mislykkede dommer via e-postgodkjenningsprotokoller som DMARC, DKIM, SPF eller en kombinasjon av flere godkjenningstyper (CompAuth) |
AttachmentCount |
int |
Antall vedlegg i e-postmeldingen |
UrlCount |
int |
Antall innebygde nettadresser i e-postmeldingen |
EmailLanguage |
string |
Oppdaget språk for e-postinnholdet |
Connectors |
string |
Egendefinerte instruksjoner som definerer organisasjonens e-postflyt og hvordan e-postmeldingen ble rutet |
OrgLevelAction |
string |
Handling utført på e-postmeldingen som svar på samsvar med en policy som er definert på organisasjonsnivå |
OrgLevelPolicy |
string |
Organisasjonspolicy som utløste handlingen som ble utført på e-postmeldingen |
UserLevelAction |
string |
Handling utført på e-postmeldingen som svar på samsvar med en postbokspolicy definert av mottakeren |
UserLevelPolicy |
string |
Postbokspolicy for sluttbrukere som utløste handlingen som ble utført på e-postmeldingen |
ReportId |
string |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
AdditionalFields |
string |
Tilleggsinformasjon om enheten eller hendelsen |
LatestDeliveryLocation * |
string |
Siste kjente plassering av e-postmeldingen |
LatestDeliveryAction * |
string |
Siste kjente handling forsøkt på en e-post av tjenesten eller av en administrator gjennom manuell utbedring |
Obs!
* Kolonnene LatestDeliveryLocation
og LatestDeliveryAction
er ikke tilgjengelige i API-en for strømming.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.