EmailPostDeliveryEvents

Si applica a:

• Microsoft Defender XDR

La EmailPostDeliveryEvents tabella nello schema di ricerca avanzata contiene informazioni sulle azioni post-recapito eseguite sui messaggi di posta elettronica elaborati da Microsoft 365. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Consiglio

Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.

Per ottenere altre informazioni sui singoli messaggi di posta elettronica, è anche possibile usare le EmailEventstabelle , EmailAttachmentInfoe EmailUrlInfo . Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Nome colonna	Tipo di dati	Descrizione
Timestamp	datetime	Data e ora di registrazione dell'evento
NetworkMessageId	string	Identificatore univoco per il messaggio di posta elettronica, generato da Microsoft 365
InternetMessageId	string	Identificatore pubblico per il messaggio di posta elettronica impostato dal sistema di invio
Action	string	Azione eseguita sull'entità
ActionType	string	Tipo di attività che ha attivato l'evento: correzione manuale, Phish ZAP, Malware ZAP
ActionTrigger	string	Indica se un'azione è stata attivata da un amministratore (manualmente o tramite l'approvazione di un'azione automatizzata in sospeso) o da un meccanismo speciale, ad esempio zap o recapito dinamico
ActionResult	string	Risultato dell'azione
RecipientEmailAddress	string	Indirizzo di posta elettronica del destinatario o indirizzo di posta elettronica del destinatario dopo l'espansione della lista di distribuzione
DeliveryLocation	string	Posizione di recapito del messaggio di posta elettronica: cartella Posta in arrivo, locale/esterno, Posta indesiderata, Quarantena, invio non riuscito, non elaborato, Elementi eliminati
ThreatTypes	string	Verdetto dello stack di filtro della posta elettronica in base al fatto che il messaggio di posta elettronica contenga malware, phishing o altre minacce
DetectionMethods	string	Metodi usati per rilevare malware, phishing o altre minacce presenti nel messaggio di posta elettronica
ReportId	string	Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp.

Tipi di evento supportati

Questa tabella acquisisce gli eventi con i valori seguenti ActionType :

• Correzione manuale : un amministratore ha intrapreso manualmente un'azione su un messaggio di posta elettronica dopo che è stato recapitato alla cassetta postale dell'utente. Sono incluse le azioni eseguite manualmente tramite Threat Explorer o le approvazioni di azioni di indagine e risposta automatizzate (AIR).
• Phish ZAP - Zero-hour auto purge (ZAP) ha intrapreso un'azione su un messaggio di posta elettronica di phishing dopo la consegna.
• Malware ZAP - Zero-hour auto purge (ZAP) ha intrapreso un'azione su un messaggio di posta elettronica trovato contenente malware dopo il recapito.

Argomenti correlati

• Panoramica della rilevazione avanzata
• Capire il linguaggio delle query
• Utilizzare le query condivise
• Cercare tra dispositivi, posta elettronica, app e identità
• Comprendere lo schema
• Applicare le procedure consigliate per le query

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.