Sdílet prostřednictvím

Dotazy na tabulku EmailAttachmentInfo

  • Článek

Informace o používání těchto dotazů na webu Azure Portal najdete v kurzu služby Log Analytics. Informace o rozhraní REST API najdete v tématu Dotaz.

Soubory od škodlivého odesílatele

Najde první vzhled souborů odesílaných škodlivým odesílatelem ve vaší organizaci ve vybraném časovém rámci. Pokud chcete zobrazit dřívější vzhledy, zvyšte vybraný časový rozsah.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-maily do externích domén s přílohami

E-maily odeslané do externí domény, která obsahuje přílohy.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000