EmailEvents
Aplica-se a:
- Microsoft Defender XDR
A EmailEvents
tabela no esquema avançado de caça contém informações sobre eventos envolvendo o processamento de emails em Microsoft Defender para Office 365. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
NetworkMessageId |
string |
Identificador exclusivo para o email, gerado pelo Microsoft 365 |
InternetMessageId |
string |
Identificador público do email definido pelo seu sistema de envio |
SenderMailFromAddress |
string |
Endereço de email do remetente no cabeçalho EMAIL DE, também conhecido como remetente do envelope ou endereço do caminho de retorno |
SenderFromAddress |
string |
Endereço de email do remetente no cabeçalho DE, visível para os destinatários dos seus clientes de email |
SenderDisplayName |
string |
Nome do remetente exibido no catálogo de endereços, normalmente uma combinação de um determinado ou primeiro nome, uma inicial do meio e um sobrenome ou sobrenome |
SenderObjectId |
string |
Identificador exclusivo para a conta do remetente em Microsoft Entra ID |
SenderMailFromDomain |
string |
Domínio do remetente no cabeçalho EMAIL DE, também conhecido como remetente do envelope ou endereço do caminho de retorno |
SenderFromDomain |
string |
Domínio do remetente no cabeçalho DE, visível para os destinatários dos seus clientes de email |
SenderIPv4 |
string |
Endereço IPv4 do último servidor de email detectado que retransmitiu a mensagem |
SenderIPv6 |
string |
Endereço IPv6 do último servidor de email detectado que retransmitiu a mensagem |
RecipientEmailAddress |
string |
Endereço de email do destinatário ou endereço de email do destinatário após a expansão da lista de distribuição |
RecipientObjectId |
string |
Identificador exclusivo para o destinatário de email no Microsoft Entra ID |
Subject |
string |
Assunto do email |
EmailClusterId |
long |
Identificador do grupo de emails semelhantes clusterizados com base na análise heurística de seu conteúdo |
EmailDirection |
string |
Direção do email em relação à sua rede: Entrada, Saída, Intra-org |
DeliveryAction |
string |
Ação de entrega do email: Entregue, Lixo Eletrônico, Bloqueado ou Substituído |
DeliveryLocation |
string |
Local onde o email foi entregue: Caixa de Entrada/Pasta, Local/Externo, Tratado como Lixo Eletrônico, Quarentena, Falha, Descartado, Itens excluídos |
ThreatTypes |
string |
Veredicto da pilha de filtragem de email sobre se o email contém malware, phishing ou outras ameaças |
ThreatNames |
string |
Nome de detecção para malware ou outras ameaças encontradas |
DetectionMethods |
string |
Métodos usados para detectar malware, phishing ou outras ameaças encontradas no email |
ConfidenceLevel |
string |
Lista de níveis de confiança de quaisquer veredictos de spam ou phishing. Para spam, esta coluna mostra o nível de confiança de spam (SCL), indicando se o email foi ignorado (-1), considerado não spam (0,1), encontrado como spam com confiança moderada (5,6) ou considerado spam com alta confiança (9). Para phishing, esta coluna exibe se o nível de confiança é "Alto" ou "Baixo". |
BulkComplaintLevel |
int |
Limite atribuído ao email de carteiros em massa, um BCL (alto nível de reclamação em massa) significa que o email é mais propenso a gerar reclamações e, portanto, mais provável que seja spam |
EmailAction |
string |
Ação final tomada no email com base no veredicto de filtro, políticas e ações do usuário: mover mensagem para a pasta lixo eletrônico, Adicionar cabeçalho X, Modificar assunto, Mensagem de redirecionamento, Excluir mensagem, enviar para quarentena, Nenhuma ação tomada, mensagem Bcc |
EmailActionPolicy |
string |
Política de ação que entrou em vigor: Alta confiança do antispam, Antispam, Email em massa do antispam, Phishing do antispam, Representação do domínio de antiphishing, Representação do usuário de antiphishing, Falsificação do antiphishing, Representação do gráfico de Antiphishing, Antimalware, Anexos Seguros, Regras de Transporte Corporativo (ETR) |
EmailActionPolicyGuid |
string |
Identificador exclusivo da política que determinou a ação final do email |
AuthenticationDetails |
string |
Lista de veredictos de aprovação ou fail por protocolos de autenticação por email como DMARC, DKIM, SPF ou uma combinação de vários tipos de autenticação (CompAuth) |
AttachmentCount |
int |
Número de anexos no email |
UrlCount |
int |
Número de URLs inseridas no email |
EmailLanguage |
string |
Idioma detectado do conteúdo do email |
Connectors |
string |
Instruções personalizadas que definem o fluxo de email organizacional e como o email foi roteado |
OrgLevelAction |
string |
Ação tomada no email em resposta a correspondências a uma política definida no nível organizacional |
OrgLevelPolicy |
string |
Política organizacional que desencadeou a ação tomada no email |
UserLevelAction |
string |
Ação tomada no email em resposta a correspondências a uma política de caixa de correio definida pelo destinatário |
UserLevelPolicy |
string |
Política de caixa de correio do usuário final que desencadeou a ação tomada no email |
ReportId |
string |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
LatestDeliveryLocation * |
string |
Último local conhecido do email |
LatestDeliveryAction * |
string |
Última ação conhecida tentada em um email pelo serviço ou por um administrador por meio de correção manual |
Observação
* As LatestDeliveryLocation
colunas e LatestDeliveryAction
não estão disponíveis na API de Streaming.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.