Query per la tabella EmailAttachmentInfo

Articolo
11/05/2024

Per informazioni sull'uso di queste query nella portale di Azure, vedere Esercitazione su Log Analytics. Per l'API REST, vedere Query.

File provenienti da mittenti dannosi

Trova il primo aspetto dei file inviati da un mittente malintenzionato nell'organizzazione in corrispondenza dell'intervallo di tempo selezionato. Per visualizzare le apparenze precedenti, aumentare l'intervallo di tempo selezionato.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Messaggi di posta elettronica a domini esterni con allegati

Messaggi di posta elettronica inviati a un dominio esterno che include allegati.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000

Condividi tramite

Query per la tabella EmailAttachmentInfo

File provenienti da mittenti dannosi

Messaggi di posta elettronica a domini esterni con allegati

Commenti e suggerimenti

Risorse aggiuntive