EmailPostDeliveryEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen EmailPostDeliveryEvents i det avanserte jaktskjemaet inneholder informasjon om handlinger etter levering som utføres på e-postmeldinger som behandles av Microsoft 365. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha mer informasjon om individuelle e-postmeldinger, kan du også bruke EmailEvents, EmailAttachmentInfoog tabellene EmailUrlInfo . Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
NetworkMessageId |
string |
Unik identifikator for e-postmeldingen, generert av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifikator for e-postmeldingen som angis av det sendende e-postsystemet |
Action |
string |
Handling utført på enheten |
ActionType |
string |
Type aktivitet som utløste hendelsen: Manuell utbedring, Phish ZAP, MALWARE ZAP |
ActionTrigger |
string |
Angir om en handling ble utløst av en administrator (manuelt eller gjennom godkjenning av en ventende automatisert handling), eller av en spesiell mekanisme, for eksempel zap eller dynamisk levering |
ActionResult |
string |
Resultatet av handlingen |
RecipientEmailAddress |
string |
E-postadressen til mottakeren eller e-postadressen til mottakeren etter utvidelse av distribusjonslisten |
DeliveryLocation |
string |
Plassering der e-postmeldingen ble levert: Innboks/mappe, Lokal/Ekstern, Søppelpost, Karantene, Mislykket, Droppet, Slettede elementer |
ThreatTypes |
string |
Dommen fra e-postfiltreringsstakken om e-postmeldingen inneholder skadelig programvare, phishing eller andre trusler |
DetectionMethods |
string |
Metoder som brukes til å oppdage skadelig programvare, phishing eller andre trusler som finnes i e-postmeldingen |
ReportId |
string |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
Støttede hendelsestyper
Denne tabellen registrerer hendelser med følgende ActionType verdier:
- Manuell utbedring – En administrator har gjort noe manuelt i en e-postmelding etter at den ble levert til brukerpostboksen. Dette omfatter handlinger som utføres manuelt gjennom Trusselutforsker eller godkjenninger av automatiserte undersøkelses- og responshandlinger (AIR).
- Phish ZAP – Nulltimers automatisk tømming (ZAP) tok affære på en phishing-e-post etter levering.
- Malware ZAP – Null-timers automatisk tømming (ZAP) tok affære på en e-postmelding som ble funnet som inneholder skadelig programvare etter levering.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.