EmailPostDeliveryEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen i det avancerade schemat för sökning innehåller information om åtgärder efter leverans som har vidtagits EmailPostDeliveryEvents för e-postmeddelanden som Microsoft 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Om du vill ha mer information om enskilda e-postmeddelanden kan du även använda EmailEvents EmailAttachmentInfo tabellerna , EmailUrlInfo och . Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
NetworkMessageId |
string |
Unikt ID för e-postmeddelandet som genereras av Microsoft 365 |
InternetMessageId |
string |
Offentlig identifierare för det e-postmeddelande som konfigureras av det avsändande e-postsystemet |
Action |
string |
Åtgärd som vidtas på entiteten |
ActionType |
string |
Typ av aktivitet som utlöste händelsen: Manuell åtgärd, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Anger om en åtgärd utlöstes av en administratör (manuellt eller genom godkännande av en väntande automatiserad åtgärd), eller av någon särskild mekanism, till exempel en ZAP eller dynamisk leverans |
ActionResult |
string |
Åtgärdens resultat |
RecipientEmailAddress |
string |
Mottagarens e-postadress eller e-postadress efter att distributionslistan expanderat |
DeliveryLocation |
string |
Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokal/Extern, Skräppost, Karantän, Misslyckades, Nedsl ett, Borttaget |
ReportId |
long |
Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
ThreatTypes |
string |
Bedömning av e-postfiltreringsstacken för huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot |
DetectionMethods |
string |
Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som påträffas i e-postmeddelandet |
Händelsetyper som stöds
Den här tabellen fångar händelser med följande ActionType värden:
- Manuell åtgärd – En administratör har manuellt åtgärdat ett e-postmeddelande efter att det levererades till användarens postlåda. Detta omfattar åtgärder som vidtas manuellt via Threat Explorer eller godkännanden av automatiserade undersöknings- och svarsåtgärder (AIR).
- Zap – Zap (Zero-hour auto purge) har vidta åtgärder för nätfiske efter leverans.
- Zap (Malware ZAP) – ZAP (Zero-hour auto purge) har vidta åtgärder i ett e-postmeddelande som innehåller skadlig programvara efter leverans.