EmailEvents
Область применения:
- Microsoft Defender XDR
Таблица EmailEvents в схеме расширенной охоты содержит сведения о событиях, связанных с обработкой сообщений электронной почты на Microsoft Defender для Office 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
InternetMessageId |
string |
Общедоступный идентификатор сообщения электронной почты, устанавливаемый системой отправки электронной почты |
SenderMailFromAddress |
string |
Адрес отправителя электронной почты в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path" |
SenderFromAddress |
string |
Адрес электронной почты отправителя в заголовке "ОТ", который получатели электронной почты видят в своих почтовых клиентах |
SenderDisplayName |
string |
Имя отправителя, отображаемое в адресной книге, как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии |
SenderObjectId |
string |
Уникальный идентификатор учетной записи отправителя в Microsoft Entra ID |
SenderMailFromDomain |
string |
Домен отправителя в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path" |
SenderFromDomain |
string |
Домен отправителя электронной почты в заголовке "FROM", который получатели электронной почты видят в своих почтовых клиентах |
SenderIPv4 |
string |
IPv4-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
SenderIPv6 |
string |
IPv6-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
RecipientEmailAddress |
string |
Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки |
RecipientObjectId |
string |
Уникальный идентификатор получателя электронной почты в Microsoft Entra ID |
Subject |
string |
Тема письма |
EmailClusterId |
long |
Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания |
EmailDirection |
string |
Направление электронной почты относительно вашей сети: Входящие, Исходящие, Внутри организации |
DeliveryAction |
string |
Действие доставки сообщения электронной почты: "Доставлено", "Спам", "Заблокировано" или "Заменено" |
DeliveryLocation |
string |
Место доставки сообщения: "Входящие" или другая папка, локальная или внешняя среда, "Спам", "Карантин", "Не выполнено", "Отброшенные" или "Удаленные" |
ThreatTypes |
string |
Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы |
ThreatNames |
string |
Имя обнаружения обнаруженных вредоносных программ или других угроз |
DetectionMethods |
string |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты |
ConfidenceLevel |
string |
Список уровней достоверности любых спама или фишинговых вердиктов. Для спама в этом столбце показан уровень достоверности нежелательной почты (SCL), указывающий, было ли сообщение пропущено (-1), не было ли спамом (0,1), было ли установлено, что оно является спамом с умеренной достоверностью (5,6) или оказалось ли спамом с высокой достоверностью (9). Для фишинга в этом столбце отображается уровень достоверности "Высокий" или "Низкий". |
BulkComplaintLevel |
int |
Пороговое значение, присвоенное электронной почте от массовых почтовых рассылки. Высокий уровень массовой жалобы (BCL) означает, что электронная почта с большей вероятностью будет генерировать жалобы, и, следовательно, скорее всего, будет спамом. |
EmailAction |
string |
Окончательное действие, выполняемое по электронной почте на основе вердикта фильтра, политик и действий пользователя: Перемещение сообщения в папку нежелательной почты, добавление X-заголовка, изменение темы, сообщение перенаправления, удаление сообщения, отправка в карантин, отсутствие действий, сообщение ск |
EmailActionPolicy |
string |
Примененная политика действий: защита от спама с высокой вероятностью, защита от спама, защита от спама для массовых рассылок, защита от спама фишинга, защита от фишинга — олицетворение доменов, защита от фишинга — олицетворение пользователей, защита от фишинга — спуфинг, защита от фишинга — олицетворение диаграмм, защита от вредоносных программ, безопасные вложения, корпоративные правила транспорта (ETR) |
EmailActionPolicyGuid |
string |
Уникальный идентификатор политики, определяющей итоговое действие для сообщения электронной почты |
AuthenticationDetails |
string |
Список вердиктов по электронной почте, таких как DMARC, DKIM, SPF или сочетание нескольких типов проверки подлинности (CompAuth) |
AttachmentCount |
int |
Количество вложений в сообщении электронной почты |
UrlCount |
int |
Количество встроенных URL-адресов в сообщении электронной почты |
EmailLanguage |
string |
Обнаруженный язык сообщения электронной почты |
Connectors |
string |
Пользовательские инструкции, определяющие поток обработки почты в организации и способ маршрутизации электронной почты |
OrgLevelAction |
string |
Действия, принятые по электронной почте в ответ на соответствие политике, определенной на уровне организации |
OrgLevelPolicy |
string |
Политика организации, активировающая действие, выполняемое по электронной почте |
UserLevelAction |
string |
Действие, выполняемое по электронной почте в ответ на соответствие политике почтового ящика, определенной получателем |
UserLevelPolicy |
string |
Политика почтовых ящиков конечных пользователей, активировав действие, выполняемое по электронной почте |
ReportId |
string |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AdditionalFields |
string |
Дополнительные сведения о сущности или событии |
LatestDeliveryLocation* |
string |
Последнее известное расположение сообщения электронной почты |
LatestDeliveryAction* |
string |
Последнее известное действие, предпринятое службой или администратором по электронной почте путем ручного исправления |
Примечание.
* Столбцы LatestDeliveryLocation и LatestDeliveryActionнедоступны в API потоковой передачи.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.