EmailEvents

注意事項

想要體驗Microsoft Defender 全面偵測回應嗎? 深入瞭解如何評估和試驗Microsoft Defender 全面偵測回應

適用於:

  • Microsoft Defender XDR

EmailEvents搜捕架構中的資料表包含有關在適用於 Office 365 的 Microsoft Defender上處理電子郵件的事件相關資訊。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需資料表所支援的事件種類 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中提供的內建架構參考。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

資料行名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
NetworkMessageId string Microsoft 365 所產生電子郵件的唯一識別碼
InternetMessageId string 透過傳送電子郵件系統所設定之電子郵件的公開識別碼
SenderMailFromAddress string [郵件寄件者] 標頭中的寄件者電子郵件地址,又稱為信封寄件者或退回路徑位址
SenderFromAddress string 電子郵件用戶端上的電子郵件收件者看得到 [寄件者] 標題中的寄件者電子郵件地址
SenderDisplayName string 通訊錄中顯示的寄件者名稱,通常是指定或名字的組合、中間的縮寫,以及姓氏或姓氏
SenderObjectId string Microsoft Entra識別碼中寄件者帳戶的唯一識別碼
SenderMailFromDomain string [郵件寄件者] 標頭中的寄件者網域,也稱為信封寄件者或退回路徑位址
SenderFromDomain string [寄件者] 標頭中的寄件者網域,可對電子郵件用戶端上的電子郵件收件者顯示
SenderIPv4 string 轉送郵件的最後偵測郵件伺服器的 IPv4 位址
SenderIPv6 string 轉送郵件的最後偵測郵件伺服器的 IPv6 位址
RecipientEmailAddress string 收件者的電子郵件地址,或通訊群組清單展開後之收件者的電子郵件地址
RecipientObjectId string Microsoft Entra識別碼中電子郵件收件者的唯一識別碼
Subject string 電子郵件的主旨
EmailClusterId long 根據內容啟發式分析叢集的類似電子郵件群組識別碼
EmailDirection string 相對於您網路的電子郵件方向:輸入、輸出、組織內部
DeliveryAction string 電子郵件的傳遞動作:已傳送、已標示為垃圾郵件、已封鎖或已取代
DeliveryLocation string 傳送電子郵件的位置:收件匣/資料夾、內部部署/外部、垃圾郵件、隔離、失敗、已中斷、刪除的郵件
ThreatTypes string 電子郵件篩選堆疊中關於電子郵件是否包含惡意程式碼、網路釣魚或其他威脅的決策
ThreatNames string 找到惡意程式碼或其他威脅的偵測名稱
DetectionMethods string 用來偵測在電子郵件中找到的惡意程式碼、網路釣魚或其他威脅的方法
ConfidenceLevel string 任何垃圾郵件或網路釣魚決策的信賴等級清單。 針對垃圾郵件,此資料行會顯示 SCL) (垃圾郵件信賴等級,指出電子郵件是否已略過 (-1) 、發現不是垃圾郵件 (0,1) 、發現為信賴度 (5,6) 的垃圾郵件,或是信賴度高的垃圾郵件 (9) 。 針對網路釣魚,此資料行會顯示信賴等級是「高」還是「低」。
BulkComplaintLevel int 指派給大宗郵件寄件者的電子郵件閾值、高大量抱怨層級 (BCL) 表示電子郵件較可能產生抱怨,因此更可能是垃圾郵件
EmailAction string 根據篩選決策、原則和使用者動作對電子郵件採取的最終動作:將郵件移至垃圾郵件資料夾、新增 X 標頭、修改主旨、重新導向郵件、刪除郵件、傳送至隔離、未採取任何動作、密件副本郵件
EmailActionPolicy string 生效的動作原則:反垃圾郵件 - 高信賴度、反垃圾郵件、反垃圾郵件 - 大宗郵件、反垃圾郵件 - 網路釣魚、反網路釣魚網域模擬、反網路釣魚使用者模擬、反網路釣魚詐騙、反網路釣魚圖形模擬、反惡意程式碼、安全附件、企業傳輸規則 (ETR)
EmailActionPolicyGuid string 決定最終郵件動作的原則的唯一識別碼
AuthenticationDetails string DMARC、DKIM、SPF 等電子郵件驗證通訊協定的傳遞或失敗決策清單,或 CompAuth (多種驗證類型的組合)
AttachmentCount int 電子郵件的附件數量
UrlCount int 電子郵件的內嵌 URL 數量
EmailLanguage string 偵測到的電子郵件內容語言
Connectors string 定義組織郵件流程以及電子郵件路由方式的自訂指示
OrgLevelAction string 對電子郵件採取的動作,以回應符合組織層級定義的原則
OrgLevelPolicy string 觸發電子郵件所採取動作的組織原則
UserLevelAction string 針對電子郵件採取的動作,以回應收件者所定義的信箱原則相符專案
UserLevelPolicy string 觸發電子郵件動作的使用者信箱原則
ReportId string 以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此資料行必須與 DeviceName 和 Timestamp 資料行搭配使用。
AdditionalFields string 實體或事件的其他相關資訊
LatestDeliveryLocation* string 電子郵件的最後一個已知位置
LatestDeliveryAction* string 服務或系統管理員透過手動補救在電子郵件上嘗試的最後一個已知動作

注意事項

* 串流 API中無法使用 和 LatestDeliveryLocationLatestDeliveryAction 資料行。

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動:Microsoft Defender 全面偵測回應技術社群。