Frågor för tabellen EmailAttachmentInfo

Artikel
11/05/2024

Information om hur du använder dessa frågor i Azure Portal finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.

Filer från skadlig avsändare

Hittar det första utseendet på filer som skickas av en skadlig avsändare i din organisation vid den valda tidsramen. Om du vill se tidigare utseenden ökar du det valda tidsintervallet.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-postmeddelanden till externa domäner med bifogade filer

E-postmeddelanden som skickas till en extern domän som innehåller bifogade filer.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000

Dela via

Frågor för tabellen EmailAttachmentInfo

Filer från skadlig avsändare

E-postmeddelanden till externa domäner med bifogade filer

Feedback

Ytterligare resurser