EmailPostDeliveryEvents
Gäller för:
- Microsoft Defender XDR
Tabellen EmailPostDeliveryEvents i det avancerade jaktschemat innehåller information om åtgärder efter leverans som vidtas för e-postmeddelanden som bearbetas av Microsoft 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Om du vill ha mer information om enskilda e-postmeddelanden kan du också använda tabellerna EmailEventsEmailUrlInfo , EmailAttachmentInfooch . Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
NetworkMessageId |
string |
Unik identifierare för e-postmeddelandet som genereras av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifierare för e-postmeddelandet som anges av det sändande e-postsystemet |
Action |
string |
Åtgärd som vidtagits för entiteten |
ActionType |
string |
Typ av aktivitet som utlöste händelsen: Manuell reparation, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Anger om en åtgärd utlöstes av en administratör (manuellt eller genom godkännande av en väntande automatiserad åtgärd) eller av någon särskild mekanism, till exempel en ZAP eller dynamisk leverans |
ActionResult |
string |
Resultatet av åtgärden |
RecipientEmailAddress |
string |
Email adress till mottagaren eller e-postadressen till mottagaren efter distributionslistans expansion |
DeliveryLocation |
string |
Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokalt/externt, Skräppost, Karantän, Misslyckades, Borttaget, Borttaget objekt |
ThreatTypes |
string |
Bedömning från e-postfiltreringsstacken om huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot |
DetectionMethods |
string |
Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som finns i e-postmeddelandet |
ReportId |
string |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
Händelsetyper som stöds
Den här tabellen samlar in händelser med följande ActionType värden:
- Manuell reparation – En administratör vidtog åtgärder manuellt för ett e-postmeddelande efter att det levererats till användarpostlådan. Detta inkluderar åtgärder som vidtas manuellt via Threat Explorer eller godkännanden av automatiska åtgärder för undersökning och svar (AIR).
- Nätfiske-ZAP – Automatisk rensning utan timme (ZAP) vidtog åtgärder på ett nätfiskemeddelande efter leverans.
- ZAP för skadlig kod – Automatisk rensning utan timme (ZAP) vidtog åtgärder för ett e-postmeddelande som hittades som innehåller skadlig kod efter leverans.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.