EmailEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen i det avancerade schemat för sökning innehåller information om händelser som innefattar EmailEvents bearbetning av e-postmeddelanden på Microsoft Defender för Office 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
NetworkMessageId |
string |
Unikt ID för e-postmeddelandet som genereras av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifierare för det e-postmeddelande som konfigureras av det avsändande e-postsystemet |
SenderMailFromAddress |
string |
Avsändarens e-postadress i sidhuvudet E-POST FRÅN, som också kallas kuvertavsändaren eller Return-Path postadressen |
SenderFromAddress |
string |
Avsändarens e-postadress i sidhuvudet FRÅN, som visas för e-postmottagare i deras e-postklienter |
SenderDisplayName |
string |
Namnet på avsändaren som visas i adressboken, vanligtvis en kombination av ett visst namn eller förnamn, en initial för mellannamn och efternamn eller efternamn |
SenderObjectId |
string |
Unik identifierare för avsändarens konto i Azure AD |
SenderMailFromDomain |
string |
Sender domain in the MAIL FROM header, also known as the envelope sender or the Return-Path address |
SenderFromDomain |
string |
Sender domain in the FROM header, which is visible to email recipients on their email clients |
SenderIPv4 |
string |
IPv4-adress till den senast identifierade e-postservern som vidarebefordrade meddelandet |
SenderIPv6 |
string |
IPv6-adress till den senast identifierade e-postservern som vidarebefordrade meddelandet |
RecipientEmailAddress |
string |
Mottagarens e-postadress eller e-postadress efter att distributionslistan expanderat |
RecipientObjectId |
string |
Unikt ID för e-postmottagaren i Azure AD |
Subject |
string |
E-postmeddelandets ämne |
EmailClusterId |
string |
Identifierare för gruppen av liknande e-postmeddelanden grupperade baserat på heuristisk analys av innehållet |
EmailDirection |
string |
E-postriktning i förhållande till ditt nätverk: Inkommande, utgående, årsorganisation |
DeliveryAction |
string |
Leveransåtgärd för e-postmeddelandet: Levererad, Skräppost, Blockerad eller Ersatt |
DeliveryLocation |
string |
Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokal/Extern, Skräppost, Karantän, Misslyckades, Nedsl ett, Borttaget |
ThreatTypes |
string |
Bedömning av e-postfiltreringsstacken för huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot |
ThreatNames |
string |
Namn för identifiering av skadlig programvara eller andra hot som hittas |
DetectionMethods |
string |
Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som påträffas i e-postmeddelandet |
ConfidenceLevel |
string |
Lista över konfidensnivåer för skräppost- och nätfiskeförsök. För skräppost visar den här kolumnen konfidensnivån för skräppost (SCL), som anger om e-postmeddelandet hoppades över (-1), som hittades inte vara skräppost (0,1), som hittades som skräppost med måttligt förtroende (5,6) eller som hittades vara skräppost med hög konfidens (9). Vid nätfiske visas i den här kolumnen om konfidensnivån är "Hög" eller "Låg". |
EmailAction |
string |
Slutåtgärd för e-postmeddelandet baserat på filterbekräftelse, principer och användaråtgärder: Flytta meddelandet till skräppostmappen, Lägg till X-sidhuvud, Ändra ämne, Omdirigera meddelande, Ta bort meddelande, skicka till karantän, Ingen åtgärd vidtas, Hemlig kopia |
EmailActionPolicy |
string |
Åtgärdspolicy som verkställde: Skräppostskydd med hög säkerhet, skräppostskydd, skräppostskydd, nätfiskeskydd, nätfiskeskydd, domänpersonifiering mot nätfiske, personifiering mot nätfiske, förfalskning av nätfiske, personifiering mot nätfiske, program mot skadlig programvara, Valv-bilagor, ETR-regler (Enterprise Transport Rules) |
EmailActionPolicyGuid |
string |
Unikt ID för principen som avgör den slutliga e-poståtgärden |
AttachmentCount |
int |
Antal bifogade filer i e-postmeddelandet |
UrlCount |
int |
Antal inbäddade URL:er i e-postmeddelandet |
EmailLanguage |
string |
Upptäckt språk för e-postinnehållet |
Connectors |
string |
Anpassade instruktioner som definierar organisationens e-postflöde och hur e-posten har dirigerats |
OrgLevelAction |
string |
Åtgärder som vidtas på e-postmeddelandet som svar på matchningar mot en princip som definierats på organisationsnivå |
OrgLevelPolicy |
string |
Organisationsprincip som utlöste e-postmeddelandets åtgärd |
UserLevelAction |
string |
Åtgärd som vidtas på e-postmeddelandet som svar på matchningar mot en postlådeprincip som definieras av mottagaren |
UserLevelPolicy |
string |
Postlådeprincip för slutanvändare som utlöste åtgärden för e-postmeddelandet |
ReportId |
long |
Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
AuthenticationDetails |
string |
Lista över godkänd eller underkänd bedömning med e-postautentiseringsprotokoll som DMARC, DKIM, SPF eller en kombination av flera autentiseringstyper (CompAuth) |