EmailEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen i det avancerade schemat för sökning innehåller information om händelser som innefattar EmailEvents bearbetning av e-postmeddelanden på Microsoft Defender för Office 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
NetworkMessageId string Unikt ID för e-postmeddelandet som genereras av Microsoft 365
InternetMessageId string Offentlig identifierare för det e-postmeddelande som konfigureras av det avsändande e-postsystemet
SenderMailFromAddress string Avsändarens e-postadress i sidhuvudet E-POST FRÅN, som också kallas kuvertavsändaren eller Return-Path postadressen
SenderFromAddress string Avsändarens e-postadress i sidhuvudet FRÅN, som visas för e-postmottagare i deras e-postklienter
SenderDisplayName string Namnet på avsändaren som visas i adressboken, vanligtvis en kombination av ett visst namn eller förnamn, en initial för mellannamn och efternamn eller efternamn
SenderObjectId string Unik identifierare för avsändarens konto i Azure AD
SenderMailFromDomain string Sender domain in the MAIL FROM header, also known as the envelope sender or the Return-Path address
SenderFromDomain string Sender domain in the FROM header, which is visible to email recipients on their email clients
SenderIPv4 string IPv4-adress till den senast identifierade e-postservern som vidarebefordrade meddelandet
SenderIPv6 string IPv6-adress till den senast identifierade e-postservern som vidarebefordrade meddelandet
RecipientEmailAddress string Mottagarens e-postadress eller e-postadress efter att distributionslistan expanderat
RecipientObjectId string Unikt ID för e-postmottagaren i Azure AD
Subject string E-postmeddelandets ämne
EmailClusterId string Identifierare för gruppen av liknande e-postmeddelanden grupperade baserat på heuristisk analys av innehållet
EmailDirection string E-postriktning i förhållande till ditt nätverk: Inkommande, utgående, årsorganisation
DeliveryAction string Leveransåtgärd för e-postmeddelandet: Levererad, Skräppost, Blockerad eller Ersatt
DeliveryLocation string Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokal/Extern, Skräppost, Karantän, Misslyckades, Nedsl ett, Borttaget
ThreatTypes string Bedömning av e-postfiltreringsstacken för huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot
ThreatNames string Namn för identifiering av skadlig programvara eller andra hot som hittas
DetectionMethods string Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som påträffas i e-postmeddelandet
ConfidenceLevel string Lista över konfidensnivåer för skräppost- och nätfiskeförsök. För skräppost visar den här kolumnen konfidensnivån för skräppost (SCL), som anger om e-postmeddelandet hoppades över (-1), som hittades inte vara skräppost (0,1), som hittades som skräppost med måttligt förtroende (5,6) eller som hittades vara skräppost med hög konfidens (9). Vid nätfiske visas i den här kolumnen om konfidensnivån är "Hög" eller "Låg".
EmailAction string Slutåtgärd för e-postmeddelandet baserat på filterbekräftelse, principer och användaråtgärder: Flytta meddelandet till skräppostmappen, Lägg till X-sidhuvud, Ändra ämne, Omdirigera meddelande, Ta bort meddelande, skicka till karantän, Ingen åtgärd vidtas, Hemlig kopia
EmailActionPolicy string Åtgärdspolicy som verkställde: Skräppostskydd med hög säkerhet, skräppostskydd, skräppostskydd, nätfiskeskydd, nätfiskeskydd, domänpersonifiering mot nätfiske, personifiering mot nätfiske, förfalskning av nätfiske, personifiering mot nätfiske, program mot skadlig programvara, Valv-bilagor, ETR-regler (Enterprise Transport Rules)
EmailActionPolicyGuid string Unikt ID för principen som avgör den slutliga e-poståtgärden
AttachmentCount int Antal bifogade filer i e-postmeddelandet
UrlCount int Antal inbäddade URL:er i e-postmeddelandet
EmailLanguage string Upptäckt språk för e-postinnehållet
Connectors string Anpassade instruktioner som definierar organisationens e-postflöde och hur e-posten har dirigerats
OrgLevelAction string Åtgärder som vidtas på e-postmeddelandet som svar på matchningar mot en princip som definierats på organisationsnivå
OrgLevelPolicy string Organisationsprincip som utlöste e-postmeddelandets åtgärd
UserLevelAction string Åtgärd som vidtas på e-postmeddelandet som svar på matchningar mot en postlådeprincip som definieras av mottagaren
UserLevelPolicy string Postlådeprincip för slutanvändare som utlöste åtgärden för e-postmeddelandet
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.
AuthenticationDetails string Lista över godkänd eller underkänd bedömning med e-postautentiseringsprotokoll som DMARC, DKIM, SPF eller en kombination av flera autentiseringstyper (CompAuth)