Query's voor de tabel EmailAttachmentInfo

Zie de zelfstudie over Log Analytics voor meer informatie over het gebruik van deze query's in Azure Portal. Zie Query voor de REST API.

Bestanden van kwaadwillende afzender

Hiermee vindt u het eerste uiterlijk van bestanden die door een kwaadwillende afzender in uw organisatie zijn verzonden op het geselecteerde tijdsbestek. Als u eerdere verschijningen wilt zien, verhoogt u het geselecteerde tijdsbereik.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-mailberichten naar externe domeinen met bijlagen

E-mailberichten die worden verzonden naar een extern domein met bijlagen.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000