EmailEvents
Office 365 события электронной почты, включая доставку электронной почты и события блокировки.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AdditionalFields | Динамический | Дополнительные сведения о сущности или событии. |
| AttachmentCount | INT | Количество вложений в сообщении электронной почты. |
| AuthenticationDetails | строка | Список пройденных или неудачных вердиктов по протоколам проверки подлинности электронной почты, таким как DMARC, DKIM, SPF, или сочетанием нескольких типов проверки подлинности (CompAuth). |
| _BilledSize | real | Размер записи в байтах |
| BulkComplaintLevel | INT | Пороговое значение, назначенное электронной почте от массовых рассылки, высокий уровень массовой жалобы (BCL) означает, что электронная почта с большей вероятностью генерирует жалобы и, следовательно, с большей вероятностью будет спамом. |
| ConfidenceLevel | строка | Список уровней достоверности любых спама или фишинговых вердиктов. Для спама в этом столбце показан уровень достоверности спама (SCL), указывающий, было ли сообщение пропущено (-1), не было ли спамом (0,1), было ли обнаружено спам с умеренной достоверностью (5,6) или было ли обнаружено спам с высокой достоверностью (9). Для фишинга в этом столбце отображается уровень достоверности "Высокий" или "Низкий". |
| Соединители | строка | Пользовательские инструкции, определяющие поток обработки почты в организации и способ маршрутизации электронной почты. |
| DeliveryAction | строка | Действие доставленного сообщения электронной почты. |
| DeliveryLocation | строка | Расположение доставленного сообщения электронной почты: "Входящие", "Папка", "Локальная/внешняя", "Нежелательная почта", "Карантин", "Сбой", "Удалено", "Удаленные элементы". |
| DetectionMethods | строка | Действие доставки сообщения электронной почты: Доставлено, Нежелательно, Заблокировано или Заменено. |
| EmailAction | строка | Последнее действие, выполняемое с сообщением электронной почты на основе вердикта фильтра, политик и действий пользователей: Перемещение сообщения в папку нежелательной почты, добавление X-заголовка, изменение темы, сообщение перенаправления, удаление сообщения, отправка в карантин, без выполнения действий, скрытие сообщения. |
| EmailActionPolicy | строка | Политика действий, которая вступила в силу: защита от нежелательной почты с высоким уровнем достоверности, антиспам, массовая рассылка почты, фишинг, олицетворение домена защиты от фишинга, защита от фишинга олицетворение пользователя, защита от фишинга спуфинга, олицетворение графа защиты от фишинга, антивредоносные вложения, корпоративные правила транспорта (ETR). |
| EmailActionPolicyGuid | строка | Уникальный идентификатор политики, которая вступила в силу. |
| EmailClusterId | long | Идентификатор кластера электронной почты. Сообщения электронной почты группируются (группируются) на основе эвристического анализа их содержимого. |
| EmailDirection | строка | Email направление: Входящие, Исходящие, Внутри организации. |
| EmailLanguage | строка | Обнаружен язык содержимого сообщения электронной почты. |
| InternetMessageId | строка | Общедоступный идентификатор электронной почты, который задается отправляющей почтовой системой. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LatestDeliveryAction | строка | Последнее известное действие, предпринятое службой или администратором по электронной почте с помощью исправления вручную. |
| LatestDeliveryLocation | строка | Последнее известное расположение сообщения электронной почты. |
| NetworkMessageId | строка | Уникальный идентификатор сообщения электронной почты, созданного Office 365. |
| OrgLevelAction | строка | Действия, предпринятые по электронной почте в ответ на соответствие политике, определенной на уровне организации. |
| OrgLevelPolicy | строка | Политика организации, которая активирует действие, предпринятое в сообщении электронной почты. |
| RecipientEmailAddress | строка | Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки. |
| RecipientObjectId | строка | Email идентификатор Azure AD получателя. |
| ReportId | строка | Уникальный идентификатор события. |
| SenderDisplayName | строка | Адрес электронной почты отправителя в заголовке from, который отображается получателям электронной почты на их почтовых клиентах. |
| SenderFromAddress | строка | Домен отправителя в заголовке from, который отображается получателям электронной почты на своих почтовых клиентах. |
| SenderFromDomain | строка | Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы. |
| SenderIPv4 | строка | IPv4-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
| SenderIPv6 | строка | IPv6-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
| SenderMailFromAddress | строка | Адрес электронной почты отправителя в заголовке MAIL from , также известный как отправитель конверта или адрес Return-Path. |
| SenderMailFromDomain | строка | Домен отправителя в заголовке MAIL из, который также называется отправителем конверта или адресом Return-Path. |
| SenderObjectId | строка | Адрес электронной почты отправителя в заголовке from, который отображается получателям электронной почты на их почтовых клиентах. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Тема | строка | Email поле темы. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatNames | строка | Адрес электронной почты отправителя в заголовке from, который отображается получателям электронной почты на их почтовых клиентах. |
| ThreatTypes | строка | Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы. |
| TimeGenerated | DATETIME | Дата и время (UTC) создания записи. |
| Тип | строка | Имя таблицы. |
| UrlCount | INT | Количество внедренных URL-адресов в сообщении электронной почты. |
| UserLevelAction | строка | Действие, выполняемое с сообщением электронной почты в ответ на соответствие политике почтовых ящиков, определенной получателем. |
| UserLevelPolicy | строка | Политика почтовых ящиков конечных пользователей, активировав действие, выполняемое в сообщении электронной почты. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по