Поделиться через


EmailPostDeliveryEvents

Область применения:

  • Microsoft Defender XDR

Таблица EmailPostDeliveryEvents в схеме расширенной охоты содержит сведения о действиях после доставки, выполняемых в сообщениях электронной почты, обработанных Microsoft 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Чтобы получить дополнительные сведения об отдельных сообщениях электронной почты, можно также использовать EmailEventsтаблицы , EmailAttachmentInfoи EmailUrlInfo . Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
NetworkMessageId string Уникальный идентификатор электронной почты, созданный Microsoft 365
InternetMessageId string Общедоступный идентификатор сообщения электронной почты, устанавливаемый системой отправки электронной почты
Action string Действия, предпринятые в отношении сущности
ActionType string Тип действия, которое активировало событие: исправление вручную, ФИШИНГ-ЗАП, ЗАП вредоносных программ
ActionTrigger string Указывает, было ли действие активировано администратором (вручную или путем утверждения ожидающего автоматического действия) или каким-либо специальным механизмом, таким как ZAP или динамическая доставка.
ActionResult string Результат действия
RecipientEmailAddress string Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки
DeliveryLocation string Место доставки сообщения: "Входящие" или другая папка, локальная или внешняя среда, "Спам", "Карантин", "Не выполнено", "Отброшенные" или "Удаленные"
ThreatTypes string Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы
DetectionMethods string Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты
ReportId string Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.

Поддерживаемые типы событий

Эта таблица записывает события со следующими ActionType значениями:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.