Az EmailAttachmentInfo tábla lekérdezései
Rosszindulatú feladótól származó fájlok
Megkeresi a kártékony feladó által küldött fájlok első megjelenését a szervezetben a kiválasztott időkeretben. A korábbi megjelenések megtekintéséhez növelje a kiválasztott időtartományt.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
E-mailek külső tartományokba mellékletekkel
Mellékleteket tartalmazó külső tartományba küldött e-mailek.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: