Freigeben über

Abfragen für die Tabelle "EmailAttachmentInfo"

  • Artikel

Informationen zur Verwendung dieser Abfragen im Azure-Portal finden Sie im Log Analytics-Lernprogramm. Informationen zur REST-API finden Sie unter "Abfrage".

Dateien von böswilligen Absendern

Sucht das erste Erscheinungsbild von Dateien, die von einem böswilligen Absender in Ihrer Organisation zum ausgewählten Zeitrahmen gesendet wurden. Um frühere Darstellungen anzuzeigen, erhöhen Sie den ausgewählten Zeitraum.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-Mails an externe Domänen mit Anlagen

An eine externe Domäne gesendete E-Mails, die Anlagen enthalten.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000