EmailEvents
Aplica-se a:
- Microsoft Defender XDR
A EmailEvents tabela no esquema de investigação avançada contém informações sobre eventos que envolvem o processamento de e-mails no Microsoft Defender para Office 365. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
NetworkMessageId |
string |
Identificador exclusivo do e-mail, gerado pelo Microsoft 365 |
InternetMessageId |
string |
Identificador destinado ao público para o e-mail definido pelo sistema de e-mail de envio |
SenderMailFromAddress |
string |
Endereço de e-mail do remetente no cabeçalho MAIL FROM, também conhecido como o remetente do envelope ou o endereço de Return-Path |
SenderFromAddress |
string |
Endereço de e-mail do remetente no cabeçalho FROM, que é visível para destinatários de e-mail nos seus clientes de e-mail |
SenderDisplayName |
string |
Nome do remetente apresentado no livro de endereços, normalmente uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido |
SenderObjectId |
string |
Identificador exclusivo da conta do remetente no Microsoft Entra ID |
SenderMailFromDomain |
string |
Domínio do remetente no cabeçalho MAIL FROM, também conhecido como o remetente do envelope ou o endereço de Return-Path |
SenderFromDomain |
string |
Domínio do remetente no cabeçalho FROM, que é visível para destinatários de e-mail nos seus clientes de e-mail |
SenderIPv4 |
string |
Endereço IPv4 do último servidor de correio detetado que transmitiu a mensagem |
SenderIPv6 |
string |
Endereço IPv6 do último servidor de correio detetado que transmitiu a mensagem |
RecipientEmailAddress |
string |
Email endereço do destinatário ou endereço de e-mail do destinatário após a expansão da lista de distribuição |
RecipientObjectId |
string |
Identificador exclusivo do destinatário do e-mail no Microsoft Entra ID |
Subject |
string |
Assunto do e-mail |
EmailClusterId |
long |
Identificador para o grupo de e-mails semelhantes agrupados com base na análise heurística dos respetivos conteúdos |
EmailDirection |
string |
Direção do e-mail relativo à sua rede: Entrada, Saída, Intra-organização |
DeliveryAction |
string |
Ação de entrega do e-mail: Entregue, Lixo, Bloqueado ou Substituído |
DeliveryLocation |
string |
Localização onde o e-mail foi entregue: Caixa de Entrada/Pasta, No local/Externo, Lixo, Quarentena, Com Falhas, Removido, Itens eliminados |
ThreatTypes |
string |
Veredicto da pilha de filtragem de e-mail sobre se o e-mail contém software maligno, phishing ou outras ameaças |
ThreatNames |
string |
Nome da deteção para software maligno ou outras ameaças encontradas |
DetectionMethods |
string |
Métodos utilizados para detetar software maligno, phishing ou outras ameaças encontradas no e-mail |
ConfidenceLevel |
string |
Lista de níveis de confiança de quaisquer veredictos de spam ou phishing. Para spam, esta coluna mostra o nível de confiança de spam (SCL), que indica se o e-mail foi ignorado (-1), que se verificou não ser spam (0,1), considerado spam com confiança moderada (5,6) ou considerado spam com alta confiança (9). Para phishing, esta coluna mostra se o nível de confiança é "Alto" ou "Baixo". |
BulkComplaintLevel |
int |
Limiar atribuído a e-mails de correio em massa, um elevado nível de reclamação em massa (BCL) significa que o e-mail é mais propenso a gerar reclamações e, portanto, é mais provável que seja spam |
EmailAction |
string |
Ação final tomada no e-mail com base no veredicto do filtro, políticas e ações do utilizador: Mover mensagem para a pasta de e-mail de lixo, Adicionar cabeçalho X, Modificar assunto, Redirecionar mensagem, Eliminar mensagem, enviar para quarentena, Nenhuma ação tomada, mensagem Bcc |
EmailActionPolicy |
string |
Política de ação que entrou em vigor: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Identificador exclusivo da política que determinou a ação de correio final |
AuthenticationDetails |
string |
Lista de veredictos de aprovação ou falha por protocolos de autenticação por e-mail, como DMARC, DKIM, SPF ou uma combinação de vários tipos de autenticação (CompAuth) |
AttachmentCount |
int |
Número de anexos no e-mail |
UrlCount |
int |
Número de URLs incorporados no e-mail |
EmailLanguage |
string |
Idioma detetado do conteúdo do e-mail |
Connectors |
string |
Instruções personalizadas que definem o fluxo de correio organizacional e como o e-mail foi encaminhado |
OrgLevelAction |
string |
Ação tomada no e-mail em resposta a correspondências a uma política definida ao nível da organização |
OrgLevelPolicy |
string |
Política organizacional que acionou a ação tomada no e-mail |
UserLevelAction |
string |
Ação tomada no e-mail em resposta a correspondências a uma política de caixa de correio definida pelo destinatário |
UserLevelPolicy |
string |
Política de caixa de correio do utilizador final que acionou a ação efetuada no e-mail |
ReportId |
string |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
LatestDeliveryLocation* |
string |
Última localização conhecida do e-mail |
LatestDeliveryAction* |
string |
Última ação conhecida tentada num e-mail pelo serviço ou por um administrador através da remediação manual |
Nota
* As LatestDeliveryLocation colunas e LatestDeliveryActionnão estão disponíveis na API de Transmissão em Fluxo.
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.