EmailPostDeliveryEvents
Van toepassing op:
- Microsoft Defender XDR
De EmailPostDeliveryEvents tabel in het geavanceerde opsporingsschema bevat informatie over acties na bezorging die zijn uitgevoerd op e-mailberichten die door Microsoft 365 worden verwerkt. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Voor meer informatie over afzonderlijke e-mailberichten kunt u ook de EmailEventstabellen , EmailAttachmentInfoen de EmailUrlInfo tabellen gebruiken. Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
NetworkMessageId |
string |
Unieke id voor het e-mailbericht, gegenereerd door Microsoft 365 |
InternetMessageId |
string |
Openbare id voor de e-mail die is ingesteld door het verzendende e-mailsysteem |
Action |
string |
Actie die is uitgevoerd op de entiteit |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd: Handmatig herstel, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Geeft aan of een actie is geactiveerd door een beheerder (handmatig of door goedkeuring van een in behandeling zijnde geautomatiseerde actie), of door een speciaal mechanisme, zoals een ZAP of dynamische levering |
ActionResult |
string |
Resultaat van de actie |
RecipientEmailAddress |
string |
Email adres van de geadresseerde of het e-mailadres van de geadresseerde na uitbreiding van de distributielijst |
DeliveryLocation |
string |
Locatie waar het e-mailbericht is bezorgd: Postvak IN/map, on-premises/extern, ongewenste e-mail, quarantaine, mislukt, verwijderd, verwijderde items |
ThreatTypes |
string |
Oordeel van de e-mailfilterstack of het e-mailbericht malware, phishing of andere bedreigingen bevat |
DetectionMethods |
string |
Methoden die worden gebruikt om malware, phishing of andere bedreigingen in de e-mail te detecteren |
ReportId |
string |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
Ondersteunde gebeurtenistypen
Deze tabel legt gebeurtenissen vast met de volgende ActionType waarden:
- Handmatig herstel : een beheerder heeft handmatig actie ondernomen op een e-mailbericht nadat het is bezorgd in het postvak van de gebruiker. Dit omvat acties die handmatig worden uitgevoerd via Threat Explorer of goedkeuringen van acties voor geautomatiseerd onderzoek en respons (AIR).
- Phish ZAP – Zero-hour auto purge (ZAP) heeft actie ondernomen op een phishing-e-mail na bezorging.
- Malware ZAP – Zero-hour auto purge (ZAP) heeft actie ondernomen op een e-mailbericht dat malware bevat na levering.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.