Consultas para a tabela EmailAttachmentInfo

Artigo
07/31/2024

Para obter informações sobre como usar essas consultas no portal do Azure, consulte o tutorial do Log Analytics. Para a API REST, consulte Consulta.

Arquivos de remetente mal-intencionado

Localiza a primeira aparência de arquivos enviados por um remetente mal-intencionado em sua organização no período selecionado. Para ver aparições anteriores, aumente o intervalo de tempo selecionado.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-mails para domínios externos com anexos

E-mails enviados para um domínio externo que incluem anexos.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000

Partilhar via

Consultas para a tabela EmailAttachmentInfo

Arquivos de remetente mal-intencionado

E-mails para domínios externos com anexos

Comentários

Recursos adicionais