EmailEvents
Office 365 E-Mail-Ereignisse, einschließlich E-Mail-Übermittlungs- und Blockierungsereignissen.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | Ja |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
AttachmentCount | INT | Anzahl der Anlagen in der E-Mail. |
AuthenticationDetails | Zeichenfolge | Liste der bestandenen oder nicht erfolgreichen Urteile nach E-Mail-Authentifizierungsprotokollen wie DMARC, DKIM, SPF oder einer Kombination mehrerer Authentifizierungstypen (CompAuth). |
_BilledSize | real | Die Datensatzgröße in Bytes |
BulkComplaintLevel | INT | Der Schwellenwert, der E-Mails von Massenmailern zugewiesen wurde, bedeutet eine hohe Massenbeschwerdeebene (Bulk Complaint Level, BCL), dass die E-Mail mit größerer Wahrscheinlichkeit Beschwerden generiert und daher eher Spam ist. |
ConfidenceLevel | Zeichenfolge | Liste der Konfidenzstufen aller Spam- oder Phishing-Urteile. Für Spam zeigt diese Spalte die Spam-Vertrauensstufe (Spam Confidence Level, SCL) an, die angibt, ob die E-Mail übersprungen wurde (-1), als kein Spam (0,1), als Spam mit mäßiger Zuverlässigkeit (5,6) oder als Spam mit hoher Zuverlässigkeit eingestuft wurde (9). Für Phishing zeigt diese Spalte an, ob das Konfidenzniveau "Hoch" oder "Niedrig" ist. |
Connectors | Zeichenfolge | Benutzerdefinierte Anweisungen, die den E-Mail-Fluss der Organisation und die Weiterleitung der E-Mail definieren. |
DeliveryAction | Zeichenfolge | Aktion der zugestellten E-Mail. |
DeliveryLocation | Zeichenfolge | Speicherort der zugestellten E-Mail: Posteingang/Ordner, Lokal/Extern, Junk, Quarantäne, Fehler, Gelöscht, Gelöschte Elemente. |
DetectionMethods | Zeichenfolge | Übermittlungsaktion der E-Mail: Zugestellt, Junked, Blocked oder Replaced. |
EmailAction | Zeichenfolge | Letzte Aktion für die E-Mail basierend auf Filterurteil, Richtlinien und Benutzeraktionen: Nachricht in Junk-E-Mail-Ordner verschieben, X-Header hinzufügen, Betreff ändern, Nachricht umleiten, Nachricht löschen, in Quarantäne senden, Keine Aktion ausgeführt, Bcc-Nachricht. |
EmailActionPolicy | Zeichenfolge | Aktionsrichtlinie, die wirksam wurde: Antispam mit hoher Zuverlässigkeit, Antispam, Antispam-Massenmail, Antispam-Phishing, Anti-Phishing-Domänenwechsel, Anti-Phishing-Benutzerwechsel, Anti-Phishing-Benutzerwechsel, Anti-Phishing-Spoof, Anti-Phishing-Graph-Identitätswechsel, Antimalware Safe Attachments, Enterprise Transport Rules (ETR). |
EmailActionPolicyGuid | Zeichenfolge | Eindeutiger Bezeichner der richtlinie, die wirksam wurde. |
EmailClusterId | long | Bezeichner des E-Mail-Clusters. E-Mails werden basierend auf der heuristischen Analyse ihrer Inhalte gruppiert (gruppiert). |
EmailDirection | Zeichenfolge | Email Richtung: Inbound, Outbound, Intra-org. |
EmailLanguage | Zeichenfolge | Erkannte Sprache des E-Mail-Inhalts. |
InternetMessageId | Zeichenfolge | Öffentlicher Bezeichner für die E-Mail, die vom sendenden E-Mail-System festgelegt wird. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
LatestDeliveryAction | Zeichenfolge | Letzte bekannte Aktion, die durch den Dienst oder durch einen Administrator durch manuelle Korrektur für eine E-Mail versucht wurde. |
LatestDeliveryLocation | Zeichenfolge | Letzter bekannter Speicherort der E-Mail. |
NetworkMessageId | Zeichenfolge | Eindeutiger Bezeichner für die E-Mail, die von Office 365 generiert wird. |
OrgLevelAction | Zeichenfolge | Aktion, die für die E-Mail als Reaktion auf Übereinstimmungen mit einer auf Organisationsebene definierten Richtlinie ausgeführt wird. |
OrgLevelPolicy | Zeichenfolge | Organisationsrichtlinie, die die Aktion ausgelöst hat, die für die E-Mail ausgeführt wurde. |
RecipientEmailAddress | Zeichenfolge | Empfänger-E-Mail-Adresse oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste. |
RecipientObjectId | Zeichenfolge | Email Azure AD-Bezeichner des Empfängers. |
ReportId | Zeichenfolge | Eindeutiger Bezeichner für das Ereignis. |
SenderDisplayName | Zeichenfolge | Absender-E-Mail-Adresse in der from-Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
SenderFromAddress | Zeichenfolge | Absenderdomäne im from-Header, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
SenderFromDomain | Zeichenfolge | Urteil aus dem E-Mail-Filterstapel, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält. |
SenderIPv4 | Zeichenfolge | IPv4-Adresse des zuletzt erkannten E-Mail-Servers, der die Nachricht weitergeleitet hat. |
SenderIPv6 | Zeichenfolge | IPv6-Adresse des zuletzt erkannten E-Mail-Servers, der die Nachricht weitergeleitet hat. |
SenderMailFromAddress | Zeichenfolge | Absender-E-Mail-Adresse in der E-Mail-Kopfzeile, auch als Umschlagsender oder Return-Path-Adresse bezeichnet. |
SenderMailFromDomain | Zeichenfolge | Absenderdomäne im Header MAIL from, auch als Umschlagsender oder Return-Path-Adresse bezeichnet. |
SenderObjectId | Zeichenfolge | Absender-E-Mail-Adresse in der from-Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
Subject | Zeichenfolge | Email Betrefffeld. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatNames | Zeichenfolge | Absender-E-Mail-Adresse in der from-Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
ThreatTypes | Zeichenfolge | Urteil aus dem E-Mail-Filterstapel, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält. |
TimeGenerated | datetime | Datum und Uhrzeit (UTC), wann der Datensatz generiert wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
UrlCount | INT | Anzahl der eingebetteten URLs in der E-Mail. |
UserLevelAction | Zeichenfolge | Aktion, die für die E-Mail als Antwort auf übereinstimmungen mit einer vom Empfänger definierten Postfachrichtlinie ausgeführt wird. |
UserLevelPolicy | Zeichenfolge | Postfachrichtlinie des Endbenutzers, die die aktion ausgelöst hat, die für die E-Mail ausgeführt wurde. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für