EmailPostDeliveryEvents

  • Article

S’applique à :

  • Microsoft Defender XDR

Le EmailPostDeliveryEvents tableau du schéma de repérage avancé contient des informations sur les actions post-remise effectuées sur les messages électroniques traités par Microsoft 365. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour obtenir plus d’informations sur les messages électroniques individuels, vous pouvez également utiliser les EmailEventstables , EmailAttachmentInfoet EmailUrlInfo . Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
NetworkMessageId string Identificateur unique de l’e-mail, généré par Microsoft 365
InternetMessageId string Identificateur public de l’e-mail défini par le système de courrier d’envoi
Action string Action effectuée sur l’entité
ActionType string Type d’activité qui a déclenché l’événement : Correction manuelle, Phish ZAP, Malware ZAP
ActionTrigger string Indique si une action a été déclenchée par un administrateur (manuellement ou via l’approbation d’une action automatisée en attente) ou par un mécanisme spécial, tel qu’un ZAP ou une livraison dynamique
ActionResult string Résultat de l’action
RecipientEmailAddress string Adresse e-mail du destinataire ou adresse e-mail du destinataire après extension de la liste de distribution
DeliveryLocation string Emplacement de remise du courrier électronique : boîte de réception/dossier, local/externe, courrier indésirable, quarantaine, échec, supprimé, éléments supprimés
ThreatTypes string Verdict de la pile de filtrage des e-mails indiquant si l’e-mail contient des programmes malveillants, des hameçonnages ou d’autres menaces
DetectionMethods string Méthodes utilisées pour détecter les programmes malveillants, le hameçonnage ou d’autres menaces détectées dans l’e-mail
ReportId string Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.

Types d’événements pris en charge

Ce tableau capture les événements avec les valeurs suivantes ActionType :

  • Correction manuelle : un administrateur a effectué manuellement une action sur un e-mail après sa remise à la boîte aux lettres de l’utilisateur. Cela inclut les actions effectuées manuellement via le Explorer des menaces ou les approbations d’actions d’investigation et de réponse automatisées (AIR).
  • Phish ZAP : le vidage automatique de zéro heure (ZAP) a pris des mesures sur un e-mail d’hameçonnage après la remise.
  • Malware ZAP : le vidage automatique zero-hour (ZAP) a pris des mesures sur un message électronique trouvé contenant un programme malveillant après la remise.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.