Delen via


EmailPostDeliveryEvents

Van toepassing op:

  • Microsoft Defender XDR

De EmailPostDeliveryEvents tabel in het geavanceerde opsporingsschema bevat informatie over acties na bezorging die zijn uitgevoerd op e-mailberichten die door Microsoft 365 worden verwerkt. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Tip

Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.

Voor meer informatie over afzonderlijke e-mailberichten kunt u ook de EmailEventstabellen , EmailAttachmentInfoen de EmailUrlInfo tabellen gebruiken. Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
NetworkMessageId string Unieke id voor het e-mailbericht, gegenereerd door Microsoft 365
InternetMessageId string Openbare id voor de e-mail die is ingesteld door het verzendende e-mailsysteem
Action string Actie die is uitgevoerd op de entiteit
ActionType string Type activiteit dat de gebeurtenis heeft geactiveerd: Handmatig herstel, Phish ZAP, Malware ZAP
ActionTrigger string Geeft aan of een actie is geactiveerd door een beheerder (handmatig of door goedkeuring van een in behandeling zijnde geautomatiseerde actie), of door een speciaal mechanisme, zoals een ZAP of dynamische levering
ActionResult string Resultaat van de actie
RecipientEmailAddress string Email adres van de geadresseerde of het e-mailadres van de geadresseerde na uitbreiding van de distributielijst
DeliveryLocation string Locatie waar het e-mailbericht is bezorgd: Postvak IN/map, on-premises/extern, ongewenste e-mail, quarantaine, mislukt, verwijderd, verwijderde items
ThreatTypes string Oordeel van de e-mailfilterstack of het e-mailbericht malware, phishing of andere bedreigingen bevat
DetectionMethods string Methoden die worden gebruikt om malware, phishing of andere bedreigingen in de e-mail te detecteren
ReportId string Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp.

Ondersteunde gebeurtenistypen

Deze tabel legt gebeurtenissen vast met de volgende ActionType waarden:

  • Handmatig herstel : een beheerder heeft handmatig actie ondernomen op een e-mailbericht nadat het is bezorgd in het postvak van de gebruiker. Dit omvat acties die handmatig worden uitgevoerd via Threat Explorer of goedkeuringen van acties voor geautomatiseerd onderzoek en respons (AIR).
  • Phish ZAPZero-hour auto purge (ZAP) heeft actie ondernomen op een phishing-e-mail na bezorging.
  • Malware ZAP – Zero-hour auto purge (ZAP) heeft actie ondernomen op een e-mailbericht dat malware bevat na levering.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.