EmailPostDeliveryEvents
Aplica-se a:
- Microsoft Defender XDR
A EmailPostDeliveryEvents
tabela no esquema de investigação avançada contém informações sobre as ações pós-entrega realizadas em mensagens de e-mail processadas pelo Microsoft 365. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter mais informações sobre mensagens de e-mail individuais, também pode utilizar as EmailEvents
tabelas , EmailAttachmentInfo
e EmailUrlInfo
. Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
NetworkMessageId |
string |
Identificador exclusivo do e-mail, gerado pelo Microsoft 365 |
InternetMessageId |
string |
Identificador destinado ao público para o e-mail definido pelo sistema de e-mail de envio |
Action |
string |
Ação tomada na entidade |
ActionType |
string |
Tipo de atividade que acionou o evento: Remediação manual, Phish ZAP, ZAP de Malware |
ActionTrigger |
string |
Indica se uma ação foi acionada por um administrador (manualmente ou através da aprovação de uma ação automatizada pendente) ou por algum mecanismo especial, como um ZAP ou Uma Entrega Dinâmica |
ActionResult |
string |
Resultado da ação |
RecipientEmailAddress |
string |
Email endereço do destinatário ou endereço de e-mail do destinatário após a expansão da lista de distribuição |
DeliveryLocation |
string |
Localização onde o e-mail foi entregue: Caixa de Entrada/Pasta, No local/Externo, Lixo, Quarentena, Com Falhas, Removido, Itens eliminados |
ThreatTypes |
string |
Veredicto da pilha de filtragem de e-mail sobre se o e-mail contém software maligno, phishing ou outras ameaças |
DetectionMethods |
string |
Métodos utilizados para detetar software maligno, phishing ou outras ameaças encontradas no e-mail |
ReportId |
string |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
Tipos de eventos suportados
Esta tabela captura eventos com os seguintes ActionType
valores:
- Remediação manual – um administrador tomou medidas manualmente numa mensagem de e-mail depois de ter sido entregue na caixa de correio do utilizador. Isto inclui ações realizadas manualmente através do Explorador de Ameaças ou aprovações de ações de investigação e resposta automatizadas (AIR).
- Phish ZAP – Remoção automática de horas zero (ZAP) tomou medidas num e-mail de phishing após a entrega.
- Malware ZAP – a remoção automática de zero horas (ZAP) tomou medidas numa mensagem de e-mail encontrada com software maligno após a entrega.
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.