EmailEvents
适用于:
- Microsoft Defender XDR
EmailEvents高级搜寻架构中的表包含有关涉及处理Microsoft Defender for Office 365电子邮件的事件的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
NetworkMessageId |
string |
由 Microsoft 365 生成的电子邮件的唯一标识符 |
InternetMessageId |
string |
发送电子邮件系统设置的电子邮件的面向公众的标识符 |
SenderMailFromAddress |
string |
“发件人”标题(又称为“信件发送方”或“返回路径地址”)中的发件人电子邮件地址 |
SenderFromAddress |
string |
发件人标题中的发件人电子邮件地址(电子邮件收件人在其电子邮件客户端上可以看到) |
SenderDisplayName |
string |
通讯簿中显示的发件人姓名,通常是给定或名字、中间首字母以及姓氏或姓氏的组合 |
SenderObjectId |
string |
Microsoft Entra ID中发件人帐户的唯一标识符 |
SenderMailFromDomain |
string |
“发件人”标题(又称为“信件发送方”或“返回路径地址”)中的发件人域 |
SenderFromDomain |
string |
发件人标题中的发件人域(电子邮件收件人在其电子邮件客户端上可以看到) |
SenderIPv4 |
string |
最近检测到的中继邮件的邮件服务器的 IPv4 地址 |
SenderIPv6 |
string |
最近检测到的中继邮件的邮件服务器的 IPv6 地址 |
RecipientEmailAddress |
string |
收件人的电子邮件地址,或通讯组列表扩展后收件人的电子邮件地址 |
RecipientObjectId |
string |
Microsoft Entra ID中电子邮件收件人的唯一标识符 |
Subject |
string |
电子邮件主题 |
EmailClusterId |
long |
基于对内容的启发式分析群集的相似电子邮件组的标识符 |
EmailDirection |
string |
相对于网络的电子邮件方向:入站、出站、组织内部 |
DeliveryAction |
string |
电子邮件发送操作:已发送、已标记为垃圾邮件、已阻止或已替换 |
DeliveryLocation |
string |
发送电子邮件的位置:收件箱/文件夹、本地/外部、垃圾箱、隔离区、已失败、已弃用、已删除的邮件 |
ThreatTypes |
string |
电子邮件筛选堆栈中关于电子邮件是否包含恶意软件、网络钓鱼或其他威胁的判断 |
ThreatNames |
string |
检测到的恶意软件或其他威胁的检测名称 |
DetectionMethods |
string |
用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法 |
ConfidenceLevel |
string |
任何垃圾邮件或网络钓鱼判决的置信度列表。 对于垃圾邮件,此列显示垃圾邮件置信度 (SCL) ,指示电子邮件是否跳过 (-1) ,发现不是垃圾邮件 (0,1) ,发现是中等置信度 (5,6) 的垃圾邮件,或是否为高度置信度 (为 9) 的垃圾邮件。 对于钓鱼,此列显示置信度是“高”还是“低”。 |
BulkComplaintLevel |
int |
分配给批量邮件发送者的电子邮件的阈值、 (BCL) 的高批量投诉级别意味着电子邮件更有可能产生投诉,因此更有可能成为垃圾邮件 |
EmailAction |
string |
基于筛选器判决、策略和用户操作对电子邮件执行的最后操作:将邮件移动到垃圾邮件文件夹、添加 X 标头、修改主题、重定向邮件、删除邮件、发送到隔离区、未采取任何操作、密件抄送邮件 |
EmailActionPolicy |
string |
生效的操作策略:反垃圾邮件高可信度、反垃圾邮件、反垃圾邮件批量邮件、反垃圾邮件、反垃圾邮件钓鱼、防钓鱼域模拟、防钓鱼用户模拟、防钓鱼欺骗、防钓鱼图形模拟、反恶意软件、安全附件、企业传输规则 (ETR) |
EmailActionPolicyGuid |
string |
确定最后邮件操作的策略的唯一标识符 |
AuthenticationDetails |
string |
电子邮件身份验证协议(如 DMARC、DKIM、SPF)或多种身份验证类型的组合 (CompAuth) |
AttachmentCount |
int |
电子邮件中的附件数目 |
UrlCount |
int |
电子邮件中的嵌入 URL 数目 |
EmailLanguage |
string |
检测到的电子邮件内容的语言 |
Connectors |
string |
定义组织邮件流以及如何路由电子邮件的自定义说明 |
OrgLevelAction |
string |
针对在组织级别定义的策略的匹配项对电子邮件执行的操作 |
OrgLevelPolicy |
string |
触发对电子邮件执行的操作的组织策略 |
UserLevelAction |
string |
针对收件人定义的邮箱策略的匹配项对电子邮件执行的操作 |
UserLevelPolicy |
string |
触发对电子邮件执行的操作的最终用户邮箱策略 |
ReportId |
string |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AdditionalFields |
string |
有关实体或事件的其他信息 |
LatestDeliveryLocation* |
string |
电子邮件的最后已知位置 |
LatestDeliveryAction* |
string |
服务或管理员通过手动修正对电子邮件尝试的上一个已知操作 |
注意
LatestDeliveryLocation* 和 LatestDeliveryAction 列在流式处理 API 中不可用。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈