EmailPostDeliveryEvents
Dotyczy:
- Microsoft Defender XDR
Tabela EmailPostDeliveryEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o akcjach po dostarczeniu wykonanych w wiadomościach e-mail przetworzonych przez platformę Microsoft 365. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać więcej informacji na temat poszczególnych wiadomości e-mail, możesz również użyć EmailEventstabel , EmailAttachmentInfoi EmailUrlInfo . Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail wygenerowany przez platformę Microsoft 365 |
InternetMessageId |
string |
Publiczny identyfikator wiadomości e-mail ustawionej przez system wysyłania wiadomości e-mail |
Action |
string |
Akcja podjęta w jednostce |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie: Ręczne korygowanie, Phish ZAP, Złośliwe oprogramowanie ZAP |
ActionTrigger |
string |
Wskazuje, czy akcja została wyzwolona przez administratora (ręcznie lub poprzez zatwierdzenie oczekującej akcji zautomatyzowanej), czy też przez specjalny mechanizm, taki jak zap lub dynamiczne dostarczanie |
ActionResult |
string |
Wynik akcji |
RecipientEmailAddress |
string |
Email adres odbiorcy lub adres e-mail odbiorcy po rozszerzeniu listy dystrybucyjnej |
DeliveryLocation |
string |
Lokalizacja, w której została dostarczona wiadomość e-mail: Skrzynka odbiorcza/Folder, Lokalna/Zewnętrzna, Śmieci, Kwarantanna, Niepowodzenie, Porzucone, Usunięte elementy |
ThreatTypes |
string |
Werdykt ze stosu filtrowania wiadomości e-mail dotyczący tego, czy wiadomość e-mail zawiera złośliwe oprogramowanie, wyłudzanie informacji lub inne zagrożenia |
DetectionMethods |
string |
Metody służące do wykrywania złośliwego oprogramowania, wyłudzania informacji lub innych zagrożeń znalezionych w wiadomości e-mail |
ReportId |
string |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
Obsługiwane typy zdarzeń
Ta tabela przechwytuje zdarzenia z następującymi ActionType wartościami:
- Ręczne korygowanie — administrator ręcznie podjął akcję w wiadomości e-mail po dostarczeniu jej do skrzynki pocztowej użytkownika. Obejmuje to akcje wykonywane ręcznie za pośrednictwem Eksploratora zagrożeń lub zatwierdzenia zautomatyzowanych akcji badania i reagowania (AIR).
- Phish ZAP — automatyczne przeczyszczanie o zerowej godzinie (ZAP) podjęło działania w wiadomości e-mail wyłudzającej informacje po dostarczeniu.
- Złośliwe oprogramowanie ZAP — zerogodzinne automatyczne przeczyszczanie (ZAP) podjęło działania w wiadomości e-mail zawierającej złośliwe oprogramowanie po dostarczeniu.
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.