EmailAttachmentInfo 테이블에 대한 쿼리

Azure Portal에서 이러한 쿼리를 사용하는 방법에 대한 자세한 내용은 Log Analytics 자습서를 참조하세요. REST API는 쿼리를 참조 하세요.

악의적인 보낸 사람으로부터의 파일

선택한 시간 프레임에 조직에서 악의적인 발신자가 보낸 파일의 첫 번째 모양을 찾습니다. 이전 모양을 보려면 선택한 시간 범위를 늘리세요.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

첨부 파일이 있는 외부 도메인에 대한 전자 메일

첨부 파일이 포함된 외부 도메인으로 전송된 전자 메일입니다.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000