Udostępnij za pośrednictwem

Zapytania dotyczące tabeli EmailAttachmentInfo

  • Artykuł

Aby uzyskać informacje na temat korzystania z tych zapytań w witrynie Azure Portal, zobacz Samouczek usługi Log Analytics. Aby zapoznać się z interfejsem API REST, zobacz Zapytanie.

Pliki ze strony złośliwego nadawcy

Znajduje pierwszy wygląd plików wysyłanych przez złośliwego nadawcę w organizacji w wybranym przedziale czasu. Aby zobaczyć wcześniejsze wyglądy, zwiększ wybrany zakres czasu.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Wiadomości e-mail do domen zewnętrznych z załącznikami

Wiadomości e-mail wysyłane do domeny zewnętrznej zawierającej załączniki.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000