EmailEvents
Gäller för:
- Microsoft Defender XDR
Tabellen EmailEvents i det avancerade jaktschemat innehåller information om händelser som rör bearbetning av e-postmeddelanden på Microsoft Defender för Office 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
NetworkMessageId |
string |
Unik identifierare för e-postmeddelandet som genereras av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifierare för e-postmeddelandet som anges av det sändande e-postsystemet |
SenderMailFromAddress |
string |
Avsändarens e-postadress i MAIL FROM-huvudet, även kallat kuvertsändaren eller Return-Path-adressen |
SenderFromAddress |
string |
Avsändarens e-postadress i FROM-huvudet, som är synlig för e-postmottagare på deras e-postklienter |
SenderDisplayName |
string |
Namnet på avsändaren som visas i adressboken, vanligtvis en kombination av ett givet eller förnamn, en mellan initial och ett efternamn eller efternamn |
SenderObjectId |
string |
Unik identifierare för avsändarens konto i Microsoft Entra ID |
SenderMailFromDomain |
string |
Avsändardomänen i MAIL FROM-huvudet, även kallat kuvertsändaren eller Return-Path-adressen |
SenderFromDomain |
string |
Avsändardomänen i FROM-huvudet, som är synlig för e-postmottagare på deras e-postklienter |
SenderIPv4 |
string |
IPv4-adressen för den senast identifierade e-postservern som vidarebefordrade meddelandet |
SenderIPv6 |
string |
IPv6-adressen för den senast identifierade e-postservern som vidarebefordrade meddelandet |
RecipientEmailAddress |
string |
Email adress till mottagaren eller e-postadressen till mottagaren efter distributionslistans expansion |
RecipientObjectId |
string |
Unik identifierare för e-postmottagaren i Microsoft Entra ID |
Subject |
string |
Ämne för e-postmeddelandet |
EmailClusterId |
long |
Identifierare för gruppen med liknande e-postmeddelanden klustrade baserat på heuristisk analys av deras innehåll |
EmailDirection |
string |
E-postmeddelandets riktning i förhållande till nätverket: Inkommande, Utgående, Intra-org |
DeliveryAction |
string |
Leveransåtgärd för e-postmeddelandet: Levererad, Skräppostad, Blockerad eller Ersatt |
DeliveryLocation |
string |
Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokalt/externt, Skräppost, Karantän, Misslyckades, Borttaget, Borttaget objekt |
ThreatTypes |
string |
Bedömning från e-postfiltreringsstacken om huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot |
ThreatNames |
string |
Identifieringsnamn för skadlig kod eller andra hot som hittas |
DetectionMethods |
string |
Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som finns i e-postmeddelandet |
ConfidenceLevel |
string |
Lista över konfidensnivåer för eventuella skräppost- eller nätfiskebedömningar. För skräppost visar den här kolumnen konfidensnivån för skräppost (SCL), som anger om e-postmeddelandet hoppades över (-1), visade sig inte vara skräppost (0,1), som visade sig vara skräppost med måttlig konfidens (5,6) eller visade sig vara skräppost med hög konfidens (9). För nätfiske visar den här kolumnen om konfidensnivån är "Hög" eller "Låg". |
BulkComplaintLevel |
int |
Tröskelvärde som tilldelas e-post från massutskick, en hög BCL (bulk complaint level) innebär att e-postmeddelandet är mer sannolikt att generera klagomål och därmed mer sannolikt är skräppost |
EmailAction |
string |
Slutgiltig åtgärd som vidtas på e-postmeddelandet baserat på filterutslag, principer och användaråtgärder: Flytta meddelande till mappen skräppost, Lägg till X-rubrik, Ändra ämne, Omdirigeringsmeddelande, Ta bort meddelande, skicka till karantän, Ingen åtgärd har vidtagits, Hemlig kopia |
EmailActionPolicy |
string |
Åtgärdsprincip som trädde i kraft: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR) |
EmailActionPolicyGuid |
string |
Unik identifierare för principen som fastställde den slutliga e-poståtgärden |
AuthenticationDetails |
string |
Lista över autentiseringsprotokoll via e-post som DMARC, DKIM, SPF eller en kombination av flera autentiseringstyper (CompAuth) |
AttachmentCount |
int |
Antal bifogade filer i e-postmeddelandet |
UrlCount |
int |
Antal inbäddade URL:er i e-postmeddelandet |
EmailLanguage |
string |
Identifierat språk för e-postinnehållet |
Connectors |
string |
Anpassade instruktioner som definierar organisationens e-postflöde och hur e-postmeddelandet dirigerades |
OrgLevelAction |
string |
Åtgärder som vidtas på e-postmeddelandet som svar på matchningar till en princip som definierats på organisationsnivå |
OrgLevelPolicy |
string |
Organisationsprincip som utlöste åtgärden som utfördes på e-postmeddelandet |
UserLevelAction |
string |
Åtgärd som vidtas på e-postmeddelandet som svar på matchningar till en postlådeprincip som definierats av mottagaren |
UserLevelPolicy |
string |
Postlådeprincip för slutanvändare som utlöste åtgärden som utfördes på e-postmeddelandet |
ReportId |
string |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |
LatestDeliveryLocation* |
string |
Senast kända platsen för e-postmeddelandet |
LatestDeliveryAction* |
string |
Senast kända åtgärd som försökte utföras via e-post av tjänsten eller av en administratör via manuell reparation |
Obs!
* Kolumnerna LatestDeliveryLocation och LatestDeliveryAction är inte tillgängliga i API:et för direktuppspelning.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.