EmailPostDeliveryEvents
Aplica-se a:
- Microsoft Defender XDR
A EmailPostDeliveryEvents tabela no esquema avançado de caça contém informações sobre ações pós-entrega realizadas em mensagens de email processadas pelo Microsoft 365. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter mais informações sobre mensagens de email individuais, você também pode usar as EmailEventstabelas , EmailAttachmentInfoe EmailUrlInfo . Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
NetworkMessageId |
string |
Identificador exclusivo para o email, gerado pelo Microsoft 365 |
InternetMessageId |
string |
Identificador público do email definido pelo seu sistema de envio |
Action |
string |
Ação tomada na entidade |
ActionType |
string |
Tipo de atividade que desencadeou o evento: correção manual, PHISH ZAP, Malware ZAP |
ActionTrigger |
string |
Indica se uma ação foi disparada por um administrador (manualmente ou por meio da aprovação de uma ação automatizada pendente) ou por algum mecanismo especial, como um ZAP ou Entrega Dinâmica |
ActionResult |
string |
Resultado da ação |
RecipientEmailAddress |
string |
Endereço de email do destinatário ou endereço de email do destinatário após a expansão da lista de distribuição |
DeliveryLocation |
string |
Local onde o email foi entregue: Caixa de Entrada/Pasta, Local/Externo, Tratado como Lixo Eletrônico, Quarentena, Falha, Descartado, Itens excluídos |
ThreatTypes |
string |
Veredicto da pilha de filtragem de email sobre se o email contém malware, phishing ou outras ameaças |
DetectionMethods |
string |
Métodos usados para detectar malware, phishing ou outras ameaças encontradas no email |
ReportId |
string |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
Tipos de eventos suportados
Esta tabela captura eventos com os seguintes ActionType valores:
- Correção manual – um administrador tomou medidas manualmente em uma mensagem de email depois que ela foi entregue à caixa de correio do usuário. Isso inclui ações executadas manualmente por meio de Explorer de ameaças ou aprovações de ações automatizadas de investigação e resposta (AIR).
- PHISH ZAP – ZAP (limpeza automática de zero hora) tomou medidas em um email de phishing após a entrega.
- Malware ZAP – ZAP (limpeza automática de zero hora) entrou em ação em uma mensagem de email encontrada contendo malware após a entrega.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.