EmailAttachmentInfo
Область применения:
- Microsoft Defender XDR
Таблица EmailAttachmentInfo в схеме расширенной охоты содержит сведения о вложениях в сообщениях электронной почты, обработанных Microsoft Defender для Office 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
SenderFromAddress |
string |
Адрес электронной почты отправителя в заголовке "ОТ", который получатели электронной почты видят в своих почтовых клиентах |
SenderDisplayName |
string |
Имя отправителя, отображаемое в адресной книге, как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии |
SenderObjectId |
string |
Уникальный идентификатор учетной записи отправителя в Microsoft Entra ID |
RecipientEmailAddress |
string |
Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки |
RecipientObjectId |
string |
Уникальный идентификатор получателя электронной почты в Microsoft Entra ID |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FileType |
string |
Тип расширения файла |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
FileSize |
long |
Размер файла в байтах |
ThreatTypes |
string |
Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы |
ThreatNames |
string |
Имя обнаружения обнаруженных вредоносных программ или других угроз |
DetectionMethods |
string |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты |
ReportId |
string |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.