Поделиться через


EmailEvents

Область применения:

  • Microsoft Defender XDR

Таблица EmailEvents в схеме расширенной охоты содержит сведения о событиях, связанных с обработкой сообщений электронной почты на Microsoft Defender для Office 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
NetworkMessageId string Уникальный идентификатор электронной почты, созданный Microsoft 365
InternetMessageId string Общедоступный идентификатор сообщения электронной почты, устанавливаемый системой отправки электронной почты
SenderMailFromAddress string Адрес отправителя электронной почты в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path"
SenderFromAddress string Адрес электронной почты отправителя в заголовке "ОТ", который получатели электронной почты видят в своих почтовых клиентах
SenderDisplayName string Имя отправителя, отображаемое в адресной книге, как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии
SenderObjectId string Уникальный идентификатор учетной записи отправителя в Microsoft Entra ID
SenderMailFromDomain string Домен отправителя в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path"
SenderFromDomain string Домен отправителя электронной почты в заголовке "FROM", который получатели электронной почты видят в своих почтовых клиентах
SenderIPv4 string IPv4-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение.
SenderIPv6 string IPv6-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение.
RecipientEmailAddress string Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки
RecipientObjectId string Уникальный идентификатор получателя электронной почты в Microsoft Entra ID
Subject string Тема письма
EmailClusterId long Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания
EmailDirection string Направление электронной почты относительно вашей сети: Входящие, Исходящие, Внутри организации
DeliveryAction string Действие доставки сообщения электронной почты: "Доставлено", "Спам", "Заблокировано" или "Заменено"
DeliveryLocation string Место доставки сообщения: "Входящие" или другая папка, локальная или внешняя среда, "Спам", "Карантин", "Не выполнено", "Отброшенные" или "Удаленные"
ThreatTypes string Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы
ThreatNames string Имя обнаружения обнаруженных вредоносных программ или других угроз
DetectionMethods string Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты
ConfidenceLevel string Список уровней достоверности любых спама или фишинговых вердиктов. Для спама в этом столбце показан уровень достоверности нежелательной почты (SCL), указывающий, было ли сообщение пропущено (-1), не было ли спамом (0,1), было ли установлено, что оно является спамом с умеренной достоверностью (5,6) или оказалось ли спамом с высокой достоверностью (9). Для фишинга в этом столбце отображается уровень достоверности "Высокий" или "Низкий".
BulkComplaintLevel int Пороговое значение, присвоенное электронной почте от массовых почтовых рассылки. Высокий уровень массовой жалобы (BCL) означает, что электронная почта с большей вероятностью будет генерировать жалобы, и, следовательно, скорее всего, будет спамом.
EmailAction string Окончательное действие, выполняемое по электронной почте на основе вердикта фильтра, политик и действий пользователя: Перемещение сообщения в папку нежелательной почты, добавление X-заголовка, изменение темы, сообщение перенаправления, удаление сообщения, отправка в карантин, отсутствие действий, сообщение ск
EmailActionPolicy string Примененная политика действий: защита от спама с высокой вероятностью, защита от спама, защита от спама для массовых рассылок, защита от спама фишинга, защита от фишинга — олицетворение доменов, защита от фишинга — олицетворение пользователей, защита от фишинга — спуфинг, защита от фишинга — олицетворение диаграмм, защита от вредоносных программ, безопасные вложения, корпоративные правила транспорта (ETR)
EmailActionPolicyGuid string Уникальный идентификатор политики, определяющей итоговое действие для сообщения электронной почты
AuthenticationDetails string Список вердиктов по электронной почте, таких как DMARC, DKIM, SPF или сочетание нескольких типов проверки подлинности (CompAuth)
AttachmentCount int Количество вложений в сообщении электронной почты
UrlCount int Количество встроенных URL-адресов в сообщении электронной почты
EmailLanguage string Обнаруженный язык сообщения электронной почты
Connectors string Пользовательские инструкции, определяющие поток обработки почты в организации и способ маршрутизации электронной почты
OrgLevelAction string Действия, принятые по электронной почте в ответ на соответствие политике, определенной на уровне организации
OrgLevelPolicy string Политика организации, активировающая действие, выполняемое по электронной почте
UserLevelAction string Действие, выполняемое по электронной почте в ответ на соответствие политике почтового ящика, определенной получателем
UserLevelPolicy string Политика почтовых ящиков конечных пользователей, активировав действие, выполняемое по электронной почте
ReportId string Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.
AdditionalFields string Дополнительные сведения о сущности или событии
LatestDeliveryLocation* string Последнее известное расположение сообщения электронной почты
LatestDeliveryAction* string Последнее известное действие, предпринятое службой или администратором по электронной почте путем ручного исправления

Примечание.

* Столбцы LatestDeliveryLocation и LatestDeliveryActionнедоступны в API потоковой передачи.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.