EmailEvents
適用於:
- Microsoft Defender XDR
進EmailEvents階搜捕架構中的數據表包含有關在 適用於 Office 365 的 Microsoft Defender 上處理電子郵件的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
提示
如需數據表所支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中提供的內建架構參考。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
| 資料行名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
NetworkMessageId |
string |
Microsoft 365 所產生電子郵件的唯一標識符 |
InternetMessageId |
string |
透過傳送電子郵件系統所設定之電子郵件的公開識別碼 |
SenderMailFromAddress |
string |
[郵件寄件者] 標頭中的寄件者電子郵件地址,又稱為信封寄件者或退回路徑位址 |
SenderFromAddress |
string |
電子郵件用戶端上的電子郵件收件者看得到 [寄件者] 標題中的寄件者電子郵件地址 |
SenderDisplayName |
string |
通訊錄中顯示的寄件人名稱,通常是指定或名字的組合、中間的縮寫,以及姓氏或姓氏 |
SenderObjectId |
string |
Microsoft Entra ID 中發件者帳戶的唯一標識符 |
SenderMailFromDomain |
string |
[郵件寄件者] 標頭中的寄件者網域,也稱為信封寄件者或退回路徑位址 |
SenderFromDomain |
string |
[寄件者] 標頭中的寄件者網域,可對電子郵件用戶端上的電子郵件收件者顯示 |
SenderIPv4 |
string |
轉送郵件的最後偵測郵件伺服器的 IPv4 位址 |
SenderIPv6 |
string |
轉送郵件的最後偵測郵件伺服器的 IPv6 位址 |
RecipientEmailAddress |
string |
收件者的電子郵件地址,或通訊群組清單展開後之收件者的電子郵件地址 |
RecipientObjectId |
string |
Microsoft Entra ID 中電子郵件收件者的唯一標識符 |
Subject |
string |
電子郵件的主旨 |
EmailClusterId |
long |
根據內容啟發式分析叢集的類似電子郵件群組識別碼 |
EmailDirection |
string |
相對於您網路的電子郵件方向:輸入、輸出、組織內部 |
DeliveryAction |
string |
電子郵件的傳遞動作:已傳送、已標示為垃圾郵件、已封鎖或已取代 |
DeliveryLocation |
string |
傳送電子郵件的位置:收件匣/資料夾、內部部署/外部、垃圾郵件、隔離、失敗、已中斷、刪除的郵件 |
ThreatTypes |
string |
電子郵件篩選堆疊中關於電子郵件是否包含惡意代碼、網路釣魚或其他威脅的決策 |
ThreatNames |
string |
找到惡意代碼或其他威脅的偵測名稱 |
DetectionMethods |
string |
用來偵測在電子郵件中找到的惡意代碼、網路釣魚或其他威脅的方法 |
ConfidenceLevel |
string |
任何垃圾郵件或網路釣魚決策的信賴等級清單。 針對垃圾郵件,此數據行會顯示 SCL) (垃圾郵件信賴等級,指出電子郵件是否已略過 (-1) 、發現不是垃圾郵件 (0,1) 、發現為信賴度 (5,6) 的垃圾郵件,或是信賴度高的垃圾郵件 (9) 。 針對網路釣魚,此數據行會顯示信賴等級是「高」還是「低」。 |
BulkComplaintLevel |
int |
指派給大量郵件發件者的電子郵件閾值、高大量抱怨層級 (BCL) 表示電子郵件較可能產生抱怨,因此更可能是垃圾郵件 |
EmailAction |
string |
根據篩選決策、原則和使用者動作對電子郵件採取的最終動作:將郵件移至垃圾郵件資料夾、新增 X 標頭、修改主旨、重新導向郵件、刪除郵件、傳送至隔離、未採取任何動作、密件抄送郵件 |
EmailActionPolicy |
string |
生效的動作原則:反垃圾郵件 - 高信賴度、反垃圾郵件、反垃圾郵件 - 大宗郵件、反垃圾郵件 - 網路釣魚、反網路釣魚網域模擬、反網路釣魚使用者模擬、反網路釣魚詐騙、反網路釣魚圖形模擬、反惡意程式碼、安全附件、企業傳輸規則 (ETR) |
EmailActionPolicyGuid |
string |
決定最終郵件動作的原則的唯一識別碼 |
AuthenticationDetails |
string |
DMARC、DKIM、SPF 等電子郵件驗證通訊協定的傳遞或失敗決策清單,或 CompAuth (多種驗證類型的組合) |
AttachmentCount |
int |
電子郵件的附件數量 |
UrlCount |
int |
電子郵件的內嵌 URL 數量 |
EmailLanguage |
string |
偵測到的電子郵件內容語言 |
Connectors |
string |
定義組織郵件流程以及電子郵件路由方式的自定義指示 |
OrgLevelAction |
string |
對電子郵件採取的動作,以回應符合組織層級定義的原則 |
OrgLevelPolicy |
string |
觸發電子郵件所採取動作的組織原則 |
UserLevelAction |
string |
針對電子郵件採取的動作,以回應收件者所定義的信箱原則相符專案 |
UserLevelPolicy |
string |
觸發電子郵件動作的使用者信箱原則 |
ReportId |
string |
以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。 |
AdditionalFields |
string |
實體或事件的其他相關信息 |
LatestDeliveryLocation* |
string |
電子郵件的最後一個已知位置 |
LatestDeliveryAction* |
string |
服務或系統管理員透過手動補救在電子郵件上嘗試的最後一個已知動作 |
注意事項
* 串流 API 中無法使用 和 LatestDeliveryLocationLatestDeliveryAction 資料行。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。