EmailPostDeliveryEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen i det avancerade schemat för sökning innehåller information om åtgärder efter leverans som har vidtagits EmailPostDeliveryEvents för e-postmeddelanden som Microsoft 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.

Om du vill ha mer information om enskilda e-postmeddelanden kan du även använda EmailEvents EmailAttachmentInfo tabellerna , EmailUrlInfo och . Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
NetworkMessageId string Unikt ID för e-postmeddelandet som genereras av Microsoft 365
InternetMessageId string Offentlig identifierare för det e-postmeddelande som konfigureras av det avsändande e-postsystemet
Action string Åtgärd som vidtas på entiteten
ActionType string Typ av aktivitet som utlöste händelsen: Manuell åtgärd, Phish ZAP, Malware ZAP
ActionTrigger string Anger om en åtgärd utlöstes av en administratör (manuellt eller genom godkännande av en väntande automatiserad åtgärd), eller av någon särskild mekanism, till exempel en ZAP eller dynamisk leverans
ActionResult string Åtgärdens resultat
RecipientEmailAddress string Mottagarens e-postadress eller e-postadress efter att distributionslistan expanderat
DeliveryLocation string Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokal/Extern, Skräppost, Karantän, Misslyckades, Nedsl ett, Borttaget
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.
ThreatTypes string Bedömning av e-postfiltreringsstacken för huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot
DetectionMethods string Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som påträffas i e-postmeddelandet

Händelsetyper som stöds

Den här tabellen fångar händelser med följande ActionType värden:

  • Manuell åtgärd – En administratör har manuellt åtgärdat ett e-postmeddelande efter att det levererades till användarens postlåda. Detta omfattar åtgärder som vidtas manuellt via Threat Explorer eller godkännanden av automatiserade undersöknings- och svarsåtgärder (AIR).
  • Zap – Zap (Zero-hour auto purge) har vidta åtgärder för nätfiske efter leverans.
  • Zap (Malware ZAP) – ZAP (Zero-hour auto purge) har vidta åtgärder i ett e-postmeddelande som innehåller skadlig programvara efter leverans.