EmailEvents
適用対象:
- Microsoft Defender XDR
EmailEvents
高度なハンティング スキーマのテーブルには、Microsoft Defender for Office 365での電子メールの処理に関連するイベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
NetworkMessageId |
string |
Microsoft 365 によって生成された電子メールの一意の識別子 |
InternetMessageId |
string |
送信メール システムにより設定された、メールの一般向けの識別子 |
SenderMailFromAddress |
string |
MAIL FROM ヘッダーの送信者メール アドレス (エンベロープ送信者またはリターン パス アドレスとも呼ばれる) |
SenderFromAddress |
string |
受信者のメール クライアントで受信者に表示される、FROM ヘッダーの送信者メール アドレス |
SenderDisplayName |
string |
アドレス帳に表示される送信者の名前(通常、指定または名、中間の頭文字、姓または姓の組み合わせ) |
SenderObjectId |
string |
Microsoft Entra IDの送信者のアカウントの一意識別子 |
SenderMailFromDomain |
string |
MAIL FROM ヘッダーの送信者ドメイン (エンベロープ送信者またはリターン パス アドレスとも呼ばれる) |
SenderFromDomain |
string |
受信者のメール クライアントで受信者に表示される、MAIL FROM ヘッダーの送信者ドメイン |
SenderIPv4 |
string |
検出された、最後にメッセージをリレーしたメール サーバーの IPv4 アドレス |
SenderIPv6 |
string |
検出された、最後にメッセージをリレーしたメール サーバーの IPv6 アドレス |
RecipientEmailAddress |
string |
受信者のメール アドレス、または配布リストの展開後の受信者のメール アドレス |
RecipientObjectId |
string |
Microsoft Entra IDの電子メール受信者の一意の識別子 |
Subject |
string |
メールの件名 |
EmailClusterId |
long |
コンテンツのヒューリスティック分析に基づいてまとめられた、似通ったメールのグループの識別子 |
EmailDirection |
string |
ネットワークに対する電子メールの方向: 受信、送信、組織内 |
DeliveryAction |
string |
メールの配信アクション: Delivered、Junked、Blocked、または Replaced |
DeliveryLocation |
string |
メールの配信場所: 受信トレイ/フォルダー、オンプレミス/外部、迷惑メール、検疫、失敗、中断、削除済みアイテム |
ThreatTypes |
string |
電子メールにマルウェア、フィッシング、またはその他の脅威が含まれているかどうかに関する電子メール フィルタリング スタックからの判定 |
ThreatNames |
string |
検出されたマルウェアまたはその他の脅威の検出名 |
DetectionMethods |
string |
電子メールで検出されたマルウェア、フィッシング、またはその他の脅威を検出するために使用される方法 |
ConfidenceLevel |
string |
スパムまたはフィッシング判定の信頼レベルの一覧。 スパムの場合、この列にはスパム信頼レベル (SCL) が表示され、メールがスキップされた (-1)、スパムではない (0,1)、中程度の信頼度 (5,6) のスパムであることが判明した、または信頼度の高いスパムであることが判明した (9) を示します。 フィッシングの場合、この列には信頼レベルが "High" か "Low" かが表示されます。 |
BulkComplaintLevel |
int |
バルク メーラーからの電子メールに割り当てられたしきい値(高い一括苦情レベル (BCL) は、電子メールが苦情を生成する可能性が高く、スパムである可能性が高いを意味します |
EmailAction |
string |
フィルター判定、ポリシー、およびユーザーアクションに基づいて電子メールに対して実行された最終的なアクション: 迷惑メール フォルダーへのメッセージの移動、X ヘッダーの追加、件名の変更、メッセージのリダイレクト、メッセージの削除、検疫への送信、アクションの実行なし、Bcc メッセージ |
EmailActionPolicy |
string |
適用されたアクション ポリシー: 高信頼度のスパム対策、スパム対策、バルク メール スパム対策、フィッシング スパム対策、ドメイン偽装フィッシング対策、ユーザー偽装フィッシング対策、スプーフィング フィッシング対策、グラフ偽装フィッシング対策、マルウェア対策、安全な添付ファイル、Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
メールに対する最終アクションを決定したポリシーの一意の識別子 |
AuthenticationDetails |
string |
DMARC、DKIM、SPF、または複数の認証の種類の組み合わせ (CompAuth) などの電子メール認証プロトコルによる合格または失敗の判定の一覧 |
AttachmentCount |
int |
メール内の添付ファイル数 |
UrlCount |
int |
メールに埋め込まれている URL の数 |
EmailLanguage |
string |
検出されたメールのコンテンツの言語 |
Connectors |
string |
組織のメール フローとメールのルーティング方法を定義するカスタム手順 |
OrgLevelAction |
string |
組織レベルで定義されているポリシーへの一致に応答して電子メールに対して実行されるアクション |
OrgLevelPolicy |
string |
電子メールで実行されたアクションをトリガーした組織ポリシー |
UserLevelAction |
string |
受信者によって定義されたメールボックス ポリシーへの一致に応答して電子メールに対して実行されるアクション |
UserLevelPolicy |
string |
電子メールに対して実行されたアクションをトリガーしたエンド ユーザー メールボックス ポリシー |
ReportId |
string |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
AdditionalFields |
string |
エンティティまたはイベントに関する追加情報 |
LatestDeliveryLocation* |
string |
電子メールの最後の既知の場所 |
LatestDeliveryAction* |
string |
サービスまたは管理者が手動修復を通じてメールで最後に既知のアクションを試みた |
注:
LatestDeliveryLocation* と LatestDeliveryAction 列はストリーミング API では使用できません。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。