EmailEvents
Van toepassing op:
- Microsoft Defender XDR
De EmailEvents tabel in het geavanceerde opsporingsschema bevat informatie over gebeurtenissen met betrekking tot de verwerking van e-mailberichten op Microsoft Defender voor Office 365. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
NetworkMessageId |
string |
Unieke id voor het e-mailbericht, gegenereerd door Microsoft 365 |
InternetMessageId |
string |
Openbare id voor de e-mail die is ingesteld door het verzendende e-mailsysteem |
SenderMailFromAddress |
string |
E-mailadres van afzender in de header MAIL FROM, ook wel de afzender van de envelop of het Return-Path-adres genoemd |
SenderFromAddress |
string |
E-mailadres van afzender in de FROM-header, die zichtbaar is voor e-mailontvangers op hun e-mailclients |
SenderDisplayName |
string |
Naam van de afzender die wordt weergegeven in het adresboek, meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam |
SenderObjectId |
string |
Unieke id voor het account van de afzender in Microsoft Entra ID |
SenderMailFromDomain |
string |
Afzenderdomein in de MAIL FROM-header, ook wel de afzender van de envelop of het Return-Path-adres genoemd |
SenderFromDomain |
string |
Afzenderdomein in de FROM-header, die zichtbaar is voor e-mailontvangers op hun e-mailclients |
SenderIPv4 |
string |
IPv4-adres van de laatst gedetecteerde e-mailserver die het bericht heeft doorgegeven |
SenderIPv6 |
string |
IPv6-adres van de laatst gedetecteerde e-mailserver die het bericht heeft doorgegeven |
RecipientEmailAddress |
string |
Email adres van de geadresseerde of het e-mailadres van de geadresseerde na uitbreiding van de distributielijst |
RecipientObjectId |
string |
Unieke id voor de e-mailontvanger in Microsoft Entra ID |
Subject |
string |
Onderwerp van het e-mailbericht |
EmailClusterId |
long |
Id voor de groep vergelijkbare e-mailberichten die zijn geclusterd op basis van heuristische analyse van hun inhoud |
EmailDirection |
string |
Richting van het e-mailbericht ten opzichte van uw netwerk: Inkomend, Uitgaand, Intra-org |
DeliveryAction |
string |
Bezorgingsactie van het e-mailbericht: Bezorgd, Ongewenst, Geblokkeerd of Vervangen |
DeliveryLocation |
string |
Locatie waar het e-mailbericht is bezorgd: Postvak IN/map, on-premises/extern, ongewenste e-mail, quarantaine, mislukt, verwijderd, verwijderde items |
ThreatTypes |
string |
Oordeel van de e-mailfilterstack of het e-mailbericht malware, phishing of andere bedreigingen bevat |
ThreatNames |
string |
Detectienaam voor malware of andere bedreigingen gevonden |
DetectionMethods |
string |
Methoden die worden gebruikt om malware, phishing of andere bedreigingen in de e-mail te detecteren |
ConfidenceLevel |
string |
Lijst met betrouwbaarheidsniveaus van spam- of phishing-uitspraken. Voor spam geeft deze kolom het spamvertrouwensniveau (SCL) weer, waarmee wordt aangegeven of de e-mail is overgeslagen (-1), geen spam is (0,1), spam is met een beperkte betrouwbaarheid (5,6) of spam met hoge betrouwbaarheid is gevonden (9). Voor phishing wordt in deze kolom weergegeven of het betrouwbaarheidsniveau 'Hoog' of 'Laag' is. |
BulkComplaintLevel |
int |
Drempelwaarde die is toegewezen aan e-mail van bulkmailers, een hoog bulkklachtniveau (BCL) betekent dat de e-mail meer kans heeft op het genereren van klachten, en dus meer kans op spam |
EmailAction |
string |
Laatste actie die is uitgevoerd op het e-mailbericht op basis van filterbeoordeling, beleid en gebruikersacties: Bericht verplaatsen naar map ongewenste e-mail, X-header toevoegen, Onderwerp wijzigen, Omleiden bericht, Bericht verwijderen, verzenden naar quarantaine, Geen actie ondernomen, BCC-bericht |
EmailActionPolicy |
string |
Actiebeleid dat van kracht is geworden: Antispam hoog vertrouwen, Antispam, Antispam bulkmail, Antispam phishing, Anti-phishing domein imitatie, Anti-phishing gebruikers imitatie, Anti-phishing spoof, Anti-phishing graph imitatie, Antimalware, Veilige bijlagen, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Unieke id voor het beleid dat de uiteindelijke e-mailactie heeft bepaald |
AuthenticationDetails |
string |
Lijst met geslaagde of mislukte vonnissen door e-mailverificatieprotocollen zoals DMARC, DKIM, SPF of een combinatie van meerdere verificatietypen (CompAuth) |
AttachmentCount |
int |
Aantal bijlagen in het e-mailbericht |
UrlCount |
int |
Aantal ingesloten URL's in het e-mailbericht |
EmailLanguage |
string |
Taal van de e-mailinhoud gedetecteerd |
Connectors |
string |
Aangepaste instructies voor het definiƫren van de e-mailstroom van de organisatie en hoe het e-mailbericht is gerouteerd |
OrgLevelAction |
string |
Actie die is uitgevoerd op het e-mailbericht als reactie op overeenkomsten met een beleid dat is gedefinieerd op organisatieniveau |
OrgLevelPolicy |
string |
Organisatiebeleid dat de actie op het e-mailbericht heeft geactiveerd |
UserLevelAction |
string |
Actie die is uitgevoerd op het e-mailbericht als reactie op overeenkomsten met een postvakbeleid dat is gedefinieerd door de geadresseerde |
UserLevelPolicy |
string |
Postvakbeleid voor eindgebruikers dat de actie op het e-mailbericht heeft geactiveerd |
ReportId |
string |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
AdditionalFields |
string |
Aanvullende informatie over de entiteit of gebeurtenis |
LatestDeliveryLocation* |
string |
Laatst bekende locatie van het e-mailbericht |
LatestDeliveryAction* |
string |
Laatst bekende actie uitgevoerd op een e-mail door de service of door een beheerder via handmatig herstel |
Opmerking
* De LatestDeliveryLocation kolommen en LatestDeliveryAction zijn niet beschikbaar in de Streaming-API.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.