EmailEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
Gelişmiş tehdit avcılığı şemasındaki tablo, EmailEvents Office 365 için Microsoft Defender e-postaların işlenmesini içeren olaylar hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
NetworkMessageId |
string |
Microsoft 365 tarafından oluşturulan e-posta için benzersiz tanımlayıcı |
InternetMessageId |
string |
Gönderen e-posta sistemi tarafından ayarlanan e-posta için genel kullanıma yönelik tanımlayıcı |
SenderMailFromAddress |
string |
POSTADAN üst bilgisindeki gönderen e-posta adresi; zarf göndereni veya Return-Path adresi olarak da bilinir |
SenderFromAddress |
string |
KIMDEN üst bilgisindeki gönderen e-posta adresi, e-posta istemcilerindeki e-posta alıcıları tarafından görülebilir |
SenderDisplayName |
string |
Adres defterinde görüntülenen gönderenin adı, genellikle verilen veya adın, ikinci bir adın ve soyadının veya soyadının birleşimidir |
SenderObjectId |
string |
Microsoft Entra ID'da gönderenin hesabının benzersiz tanımlayıcısı |
SenderMailFromDomain |
string |
POSTADAN üst bilgisindeki gönderen etki alanı; zarf göndereni veya Return-Path adresi olarak da bilinir |
SenderFromDomain |
string |
GÖNDEREN üst bilgisindeki gönderen etki alanı, e-posta istemcilerindeki e-posta alıcıları tarafından görülebilir |
SenderIPv4 |
string |
İletiyi aktaran son algılanan posta sunucusunun IPv4 adresi |
SenderIPv6 |
string |
İletiyi aktaran son algılanan posta sunucusunun IPv6 adresi |
RecipientEmailAddress |
string |
Dağıtım listesi genişletildikten sonra alıcının adresini veya alıcının e-posta adresini Email |
RecipientObjectId |
string |
Microsoft Entra ID'da e-posta alıcısı için benzersiz tanımlayıcı |
Subject |
string |
E-postanın konusu |
EmailClusterId |
long |
İçeriğinin buluşsal analizine göre kümelenmiş benzer e-posta grubunun tanımlayıcısı |
EmailDirection |
string |
E-postanın ağınıza göre yönü: Gelen, Giden, Kuruluş içi |
DeliveryAction |
string |
E-postanın teslim eylemi: Teslim Edildi, Gereksiz, Engellendi veya Değiştirildi |
DeliveryLocation |
string |
E-postanın teslim edildiği konum: Gelen Kutusu/Klasör, Şirket İçi/Dış, Gereksiz, Karantina, Başarısız, Bırakılan, Silinen öğeler |
ThreatTypes |
string |
E-posta filtreleme yığınından, e-postanın kötü amaçlı yazılım, kimlik avı veya diğer tehditler içerip içermediğine ilişkin karar |
ThreatNames |
string |
Bulunan kötü amaçlı yazılım veya diğer tehditler için algılama adı |
DetectionMethods |
string |
E-postada bulunan kötü amaçlı yazılımları, kimlik avı veya diğer tehditleri algılamak için kullanılan yöntemler |
ConfidenceLevel |
string |
İstenmeyen posta veya kimlik avı kararlarının güvenilirlik düzeylerinin listesi. İstenmeyen postalar için, bu sütun, e-postanın atlandığını (-1), istenmeyen posta (0,1), ılımlı güvenle istenmeyen posta (5,6) veya yüksek güvenle istenmeyen posta olarak bulunup bulunmadığını gösteren istenmeyen posta güvenilirlik düzeyini (SCL) gösterir (9). Kimlik avı için bu sütun güvenilirlik düzeyinin "Yüksek" mi yoksa "Düşük" mü olduğunu gösterir. |
BulkComplaintLevel |
int |
Toplu postacılardan gelen e-postaya atanan eşik, yüksek toplu şikayet düzeyi (BCL), e-postanın şikayet oluşturma olasılığının daha yüksek olduğu ve dolayısıyla istenmeyen posta olma olasılığının daha yüksek olduğu anlamına gelir |
EmailAction |
string |
Filtre kararına, ilkelere ve kullanıcı eylemlerine göre e-postada gerçekleştirilen son eylem: İletiyi gereksiz posta klasörüne taşıma, X üst bilgisi ekleme, Konuyu değiştir, Yeniden yönlendirme iletisi, İletiyi sil, karantinaya gönderme, Eylem yapılmamış, Gizli iletisi |
EmailActionPolicy |
string |
Etkili olan eylem ilkesi: Antispam yüksek güvenilirlik, Antispam, Antispam toplu posta, Antispam kimlik avı, Kimlik avı önleme etki alanı kimliğe bürünme, Kimlik avı önleme kullanıcı kimliğine bürünme, Kimlik avına karşı koruma sahtekarlığı, Kimlik avı önleme grafı kimliğe bürünme, Kötü amaçlı yazılımdan koruma, Güvenli Ekler, Kurumsal Aktarım Kuralları (ETR) |
EmailActionPolicyGuid |
string |
Son posta eylemini belirleyen ilkenin benzersiz tanımlayıcısı |
AuthenticationDetails |
string |
DMARC, DKIM, SPF gibi e-posta kimlik doğrulama protokollerine göre veya birden çok kimlik doğrulama türünün (CompAuth) birleşimine göre geçiş veya başarısız kararların listesi |
AttachmentCount |
int |
E-postadaki eklerin sayısı |
UrlCount |
int |
E-postadaki eklenmiş URL sayısı |
EmailLanguage |
string |
E-posta içeriğinin dili algılandı |
Connectors |
string |
Kurumsal posta akışını ve e-postanın nasıl yönlendirildiğini tanımlayan özel yönergeler |
OrgLevelAction |
string |
E-postada, kuruluş düzeyinde tanımlanan ilkeyle eşleşmelere yanıt olarak gerçekleştirilen eylem |
OrgLevelPolicy |
string |
E-postada gerçekleştirilen eylemi tetikleyen kuruluş ilkesi |
UserLevelAction |
string |
Alıcı tarafından tanımlanan posta kutusu ilkesiyle eşleşmelere yanıt olarak e-postada gerçekleştirilen eylem |
UserLevelPolicy |
string |
E-postada gerçekleştirilen eylemi tetikleyen son kullanıcı posta kutusu ilkesi |
ReportId |
string |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
AdditionalFields |
string |
Varlık veya olay hakkında ek bilgi |
LatestDeliveryLocation* |
string |
E-postanın bilinen son konumu |
LatestDeliveryAction* |
string |
E-postada hizmet veya yönetici tarafından el ile düzeltme yoluyla denenen son bilinen eylem |
Not
LatestDeliveryLocation* ve LatestDeliveryAction sütunları Akış API'sinde kullanılamaz.
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin