Consultas para la tabla EmailAttachmentInfo

Para obtener información sobre el uso de estas consultas en Azure Portal, consulte tutorial de Log Analytics. Para obtener la API REST, consulte Consulta.

Archivos del remitente malintencionado

Busca la primera apariencia de los archivos enviados por un remitente malintencionado de su organización en el período de tiempo seleccionado. Para ver las apariencias anteriores, aumente el intervalo de tiempo seleccionado.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Correos electrónicos a dominios externos con datos adjuntos

Correos electrónicos enviados a un dominio externo que incluyen datos adjuntos.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000