EmailPostDeliveryEvents
Область применения:
- Microsoft Defender XDR
Таблица EmailPostDeliveryEvents в схеме расширенной охоты содержит сведения о действиях после доставки, выполняемых в сообщениях электронной почты, обработанных Microsoft 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Чтобы получить дополнительные сведения об отдельных сообщениях электронной почты, можно также использовать EmailEventsтаблицы , EmailAttachmentInfoи EmailUrlInfo . Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
InternetMessageId |
string |
Общедоступный идентификатор сообщения электронной почты, устанавливаемый системой отправки электронной почты |
Action |
string |
Действия, предпринятые в отношении сущности |
ActionType |
string |
Тип действия, которое активировало событие: исправление вручную, ФИШИНГ-ЗАП, ЗАП вредоносных программ |
ActionTrigger |
string |
Указывает, было ли действие активировано администратором (вручную или путем утверждения ожидающего автоматического действия) или каким-либо специальным механизмом, таким как ZAP или динамическая доставка. |
ActionResult |
string |
Результат действия |
RecipientEmailAddress |
string |
Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки |
DeliveryLocation |
string |
Место доставки сообщения: "Входящие" или другая папка, локальная или внешняя среда, "Спам", "Карантин", "Не выполнено", "Отброшенные" или "Удаленные" |
ThreatTypes |
string |
Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы |
DetectionMethods |
string |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты |
ReportId |
string |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
Поддерживаемые типы событий
Эта таблица записывает события со следующими ActionType значениями:
- Исправление вручную . Администратор вручную выполнил действия с сообщением электронной почты после его доставки в почтовый ящик пользователя. Сюда входят действия, выполняемые вручную с помощью Обозреватель угроз или утверждения действий автоматического исследования и реагирования (AIR).
- Фишинг ZAP — автоматическая очистка нулевого часа (ZAP) приняла меры по фишинговой электронной почте после доставки.
- ZAP для вредоносных программ — автоматическая очистка нулевого часа (ZAP) приняла меры по обнаружению сообщения электронной почты, содержащего вредоносные программы после доставки.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.