EmailPostDeliveryEvents

  • [アーティクル]

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft Defender XDR

EmailPostDeliveryEvents高度なハンティング スキーマのテーブルには、Microsoft 365 によって処理された電子メール メッセージに対して実行された配信後のアクションに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

ヒント

テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。

個々の電子メール メッセージに関する詳細を取得するには、 、、および テーブルをEmailUrlInfo使用EmailEventsEmailAttachmentInfoすることもできます。 高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
NetworkMessageId string Microsoft 365 によって生成された電子メールの一意の識別子
InternetMessageId string 送信メール システムにより設定された、メールの一般向けの識別子
Action string エンティティに対して実行されるアクション
ActionType string イベントをトリガーしたアクティビティの種類: 手動修復、フィッシング ZAP、マルウェア ZAP
ActionTrigger string アクションが管理者 (手動でトリガーされたか、保留中の自動アクションの承認によってトリガーされたか) か、ZAP や動的配信などの特別なメカニズムによってトリガーされたかを示します。
ActionResult string アクションの結果
RecipientEmailAddress string 受信者のメール アドレス、または配布リストの展開後の受信者のメール アドレス
DeliveryLocation string メールの配信場所: 受信トレイ/フォルダー、オンプレミス/外部、迷惑メール、検疫、失敗、中断、削除済みアイテム
ThreatTypes string 電子メールにマルウェア、フィッシング、またはその他の脅威が含まれているかどうかに関する電子メール フィルタリング スタックからの判定
DetectionMethods string 電子メールで検出されたマルウェア、フィッシング、またはその他の脅威を検出するために使用される方法
ReportId string 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。

サポートされているイベントの種類

このテーブルは、次 ActionType の値を持つイベントをキャプチャします。

  • 手動修復 – 管理者は、ユーザー メールボックスに配信された後、電子メール メッセージに対して手動でアクションを実行しました。 これには、脅威エクスプローラーまたは自動調査と対応 (AIR) アクションの承認を通じて手動で実行されるアクションが含まれます。
  • フィッシング ZAP0 時間の自動消去 (ZAP) は、配信後にフィッシング メールに対してアクションを実行しました。
  • マルウェア ZAP – 0 時間の自動消去 (ZAP) は、配信後にマルウェアが含まれている電子メール メッセージに対してアクションを実行しました。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします