EmailEvents

  • Článek

Platí pro:

  • Microsoft Defender XDR

Tabulka EmailEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech zahrnujících zpracování e-mailů na Microsoft Defender pro Office 365. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.

Tip

Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy byla událost zaznamenána
NetworkMessageId string Jedinečný identifikátor e-mailu vygenerovaný Microsoftem 365
InternetMessageId string Veřejný identifikátor e-mailu nastavený odesílajícím e-mailovým systémem
SenderMailFromAddress string E-mailová adresa odesílatele v záhlaví MAIL FROM, označovaná také jako odesílatel obálky nebo Return-Path adresa
SenderFromAddress string E-mailová adresa odesílatele v hlavičce FROM, která je viditelná příjemcům e-mailu v jejich e-mailových klientech
SenderDisplayName string Jméno odesílatele zobrazeného v adresáři, obvykle kombinace zadaného jména nebo křestního jména, iniciály uprostřed a příjmení nebo příjmení
SenderObjectId string Jedinečný identifikátor účtu odesílatele v Microsoft Entra ID
SenderMailFromDomain string Doména odesílatele v hlavičce MAIL FROM, označovaná také jako odesílatel obálky nebo Return-Path adresa
SenderFromDomain string Doména odesílatele v hlavičce FROM, která je viditelná příjemcům e-mailu na jejich e-mailových klientech
SenderIPv4 string IPv4 adresa posledního zjištěného poštovního serveru, který zprávu předával
SenderIPv6 string IPv6 adresa posledního zjištěného poštovního serveru, který zprávu předával
RecipientEmailAddress string Email adresu příjemce nebo e-mailovou adresu příjemce po rozšíření distribučního seznamu
RecipientObjectId string Jedinečný identifikátor příjemce e-mailu v Microsoft Entra ID
Subject string Předmět e-mailu
EmailClusterId long Identifikátor skupiny podobných e-mailů seskupených na základě heuristické analýzy jejich obsahu
EmailDirection string Směr e-mailu vzhledem k vaší síti: Příchozí, Odchozí, Uvnitř organizace
DeliveryAction string Akce doručení e-mailu: Doručeno, Nevyžádaná pošta, Blokováno nebo Nahrazeno
DeliveryLocation string Umístění, kam byl e-mail doručen: Doručená pošta/Složka, Místní/Externí, Nevyžádaná pošta, Karanténa, Selhání, Vyřazené, Odstraněné položky
ThreatTypes string Verdikt ze zásobníku filtrování e-mailů o tom, jestli e-mail obsahuje malware, phishing nebo jiné hrozby
ThreatNames string Název detekce malwaru nebo jiných zjištěných hrozeb
DetectionMethods string Metody používané k detekci malwaru, phishingu nebo jiných hrozeb nalezených v e-mailu
ConfidenceLevel string Seznam úrovní spolehlivosti všech rozsudků o spamu nebo phishingu U spamu tento sloupec zobrazuje úroveň spolehlivosti spamu (SCL), která označuje, jestli byl e-mail vynechán (-1), zjistilo se, že se nejedná o spam (0,1), zjistilo se, že jde o spam se střední spolehlivostí (5,6) nebo o spam s vysokou spolehlivostí (9). V případě útoků phishing tento sloupec zobrazuje, jestli je úroveň spolehlivosti Vysoká nebo Nízká.
BulkComplaintLevel int Prahová hodnota přiřazená e-mailům od hromadných adresátů, vysoká úroveň hromadné stížnosti (BCL) znamená, že e-maily s větší pravděpodobností vygenerují stížnosti, a proto se jedná o spam.
EmailAction string Poslední akce prováděných s e-mailem na základě verdiktu filtru, zásad a akcí uživatele: Přesunutí zprávy do složky nevyžádaná pošta, Přidání záhlaví X, Úprava předmětu, Přesměrování zprávy, Odstranění zprávy, Odeslání do karantény, Žádná akce, Skrytá zpráva
EmailActionPolicy string Zásady akcí, které se projevily: Antispam high-confidence, Antispam, Antispam bulk mail, Antispam phishing phishing, Anti-phishing domain impersonation, Anti-phishing user impersonation, Anti-phishing spoof, Anti-phishing graph impersonation, Antimalware, Safe Attachments, Enterprise Transport Rules (ETR)
EmailActionPolicyGuid string Jedinečný identifikátor zásady, která určila konečnou akci pošty
AuthenticationDetails string Seznam úspěšných nebo neúspěšných verdiktů podle protokolů ověřování e-mailu, jako jsou DMARC, DKIM, SPF, nebo kombinace více typů ověřování (CompAuth)
AttachmentCount int Počet příloh v e-mailu
UrlCount int Počet vložených adres URL v e-mailu
EmailLanguage string Zjištěný jazyk obsahu e-mailu
Connectors string Vlastní pokyny, které definují tok pošty organizace a způsob směrování e-mailu
OrgLevelAction string Akce u e-mailu v reakci na shodu se zásadami definovanými na úrovni organizace
OrgLevelPolicy string Zásady organizace, které aktivovaly akci u e-mailu
UserLevelAction string Akce u e-mailu v reakci na shodu se zásadami poštovní schránky definovanými příjemcem
UserLevelPolicy string Zásady poštovní schránky koncového uživatele, které aktivovaly akci u e-mailu
ReportId string Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp.
AdditionalFields string Další informace o entitě nebo události
LatestDeliveryLocation* string Poslední známé umístění e-mailu
LatestDeliveryAction* string Poslední známá akce, o kterou se služba nebo správce pokusila v e-mailu provést ruční nápravu

Poznámka

* Sloupce LatestDeliveryLocation a LatestDeliveryActionnejsou k dispozici v rozhraní API pro streamování.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.