Partilhar via


EmailEvents

Aplica-se a:

  • Microsoft Defender XDR

A EmailEvents tabela no esquema de investigação avançada contém informações sobre eventos que envolvem o processamento de e-mails no Microsoft Defender para Office 365. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Sugestão

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
NetworkMessageId string Identificador exclusivo do e-mail, gerado pelo Microsoft 365
InternetMessageId string Identificador destinado ao público para o e-mail definido pelo sistema de e-mail de envio
SenderMailFromAddress string Endereço de e-mail do remetente no cabeçalho MAIL FROM, também conhecido como o remetente do envelope ou o endereço de Return-Path
SenderFromAddress string Endereço de e-mail do remetente no cabeçalho FROM, que é visível para destinatários de e-mail nos seus clientes de e-mail
SenderDisplayName string Nome do remetente apresentado no livro de endereços, normalmente uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido
SenderObjectId string Identificador exclusivo da conta do remetente no Microsoft Entra ID
SenderMailFromDomain string Domínio do remetente no cabeçalho MAIL FROM, também conhecido como o remetente do envelope ou o endereço de Return-Path
SenderFromDomain string Domínio do remetente no cabeçalho FROM, que é visível para destinatários de e-mail nos seus clientes de e-mail
SenderIPv4 string Endereço IPv4 do último servidor de correio detetado que transmitiu a mensagem
SenderIPv6 string Endereço IPv6 do último servidor de correio detetado que transmitiu a mensagem
RecipientEmailAddress string Email endereço do destinatário ou endereço de e-mail do destinatário após a expansão da lista de distribuição
RecipientObjectId string Identificador exclusivo do destinatário do e-mail no Microsoft Entra ID
Subject string Assunto do e-mail
EmailClusterId long Identificador para o grupo de e-mails semelhantes agrupados com base na análise heurística dos respetivos conteúdos
EmailDirection string Direção do e-mail relativo à sua rede: Entrada, Saída, Intra-organização
DeliveryAction string Ação de entrega do e-mail: Entregue, Lixo, Bloqueado ou Substituído
DeliveryLocation string Localização onde o e-mail foi entregue: Caixa de Entrada/Pasta, No local/Externo, Lixo, Quarentena, Com Falhas, Removido, Itens eliminados
ThreatTypes string Veredicto da pilha de filtragem de e-mail sobre se o e-mail contém software maligno, phishing ou outras ameaças
ThreatNames string Nome da deteção para software maligno ou outras ameaças encontradas
DetectionMethods string Métodos utilizados para detetar software maligno, phishing ou outras ameaças encontradas no e-mail
ConfidenceLevel string Lista de níveis de confiança de quaisquer veredictos de spam ou phishing. Para spam, esta coluna mostra o nível de confiança de spam (SCL), que indica se o e-mail foi ignorado (-1), que se verificou não ser spam (0,1), considerado spam com confiança moderada (5,6) ou considerado spam com alta confiança (9). Para phishing, esta coluna mostra se o nível de confiança é "Alto" ou "Baixo".
BulkComplaintLevel int Limiar atribuído a e-mails de correio em massa, um elevado nível de reclamação em massa (BCL) significa que o e-mail é mais propenso a gerar reclamações e, portanto, é mais provável que seja spam
EmailAction string Ação final tomada no e-mail com base no veredicto do filtro, políticas e ações do utilizador: Mover mensagem para a pasta de e-mail de lixo, Adicionar cabeçalho X, Modificar assunto, Redirecionar mensagem, Eliminar mensagem, enviar para quarentena, Nenhuma ação tomada, mensagem Bcc
EmailActionPolicy string Política de ação que entrou em vigor: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR)
EmailActionPolicyGuid string Identificador exclusivo da política que determinou a ação de correio final
AuthenticationDetails string Lista de veredictos de aprovação ou falha por protocolos de autenticação por e-mail, como DMARC, DKIM, SPF ou uma combinação de vários tipos de autenticação (CompAuth)
AttachmentCount int Número de anexos no e-mail
UrlCount int Número de URLs incorporados no e-mail
EmailLanguage string Idioma detetado do conteúdo do e-mail
Connectors string Instruções personalizadas que definem o fluxo de correio organizacional e como o e-mail foi encaminhado
OrgLevelAction string Ação tomada no e-mail em resposta a correspondências a uma política definida ao nível da organização
OrgLevelPolicy string Política organizacional que acionou a ação tomada no e-mail
UserLevelAction string Ação tomada no e-mail em resposta a correspondências a uma política de caixa de correio definida pelo destinatário
UserLevelPolicy string Política de caixa de correio do utilizador final que acionou a ação efetuada no e-mail
ReportId string Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp.
AdditionalFields string Informações adicionais sobre a entidade ou evento
LatestDeliveryLocation* string Última localização conhecida do e-mail
LatestDeliveryAction* string Última ação conhecida tentada num e-mail pelo serviço ou por um administrador através da remediação manual

Nota

* As LatestDeliveryLocation colunas e LatestDeliveryActionnão estão disponíveis na API de Transmissão em Fluxo.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.