共用方式為

EmailAttachmentInfo 數據表的查詢

  • 發行項

如需在 Azure 入口網站 中使用這些查詢的詳細資訊,請參閱Log Analytics教學課程。 如需 REST API,請參閱 查詢

來自惡意寄件人的檔案

尋找您組織中惡意寄件人在所選時間範圍內傳送的第一個檔案外觀。 若要查看先前的外觀,請增加選取的時間範圍。

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

具有附件的外部網域電子郵件

傳送至包含附件的外部網域的電子郵件。

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000