EmailPostDeliveryEvents

適用於：

進階搜捕架構中的表格EmailPostDeliveryEvents包含 Microsoft 365 處理的電子郵件訊息上所採取傳遞後動作的相關信息。使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需數據表所支援的事件類型 (ActionType 值) 詳細資訊，請使用 Microsoft Defender 全面偵測回應中提供的內建架構參考。

若要取得個別電子郵件訊息的詳細資訊，您也可以使用 EmailEvents、 EmailAttachmentInfo和數據 EmailUrlInfo 表。如需進階搜捕結構描述中其他表格的資訊，請參閱進階搜捕參考 (部分內容為機器翻譯)。

重要事項

部分資訊與發行前版本產品有關，在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

資料行名稱	資料類型	描述
`Timestamp`	`datetime`	事件記錄的日期和時間
`NetworkMessageId`	`string`	Microsoft 365 所產生電子郵件的唯一標識符
`InternetMessageId`	`string`	透過傳送電子郵件系統所設定之電子郵件的公開識別碼
`Action`	`string`	對實體採取的動作
`ActionType`	`string`	觸發事件的活動類型：手動補救、網路釣魚 ZAP、惡意代碼 ZAP
`ActionTrigger`	`string`	指出動作是由系統管理員手動 (或透過核准擱置的自動化動作) 觸發，還是由某些特殊機制觸發，例如 ZAP 或動態傳遞
`ActionResult`	`string`	動作的結果
`RecipientEmailAddress`	`string`	收件者的電子郵件地址，或通訊群組清單展開後之收件者的電子郵件地址
`DeliveryLocation`	`string`	傳送電子郵件的位置：收件匣/資料夾、內部部署/外部、垃圾郵件、隔離、失敗、已中斷、刪除的郵件
`ThreatTypes`	`string`	電子郵件篩選堆疊中關於電子郵件是否包含惡意代碼、網路釣魚或其他威脅的決策
`DetectionMethods`	`string`	用來偵測在電子郵件中找到的惡意代碼、網路釣魚或其他威脅的方法
`ReportId`	`string`	以重複計數器為基礎的事件識別碼。若要識別唯一事件，此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。

支援的事件類型

下表會擷取具有下列 ActionType 值的事件：

手動補救 – 系統管理員在將電子郵件訊息傳遞至使用者信箱之後，手動對電子郵件採取動作。這包括透過威脅總管手動採取的動作，或核准自動化調查和回應 (AIR) 動作。
網路釣魚 ZAP – 零時差自動清除 (ZAP) 在傳遞後對網路釣魚電子郵件採取動作。
惡意代碼 ZAP – 零時差自動清除 (ZAP) 在傳遞後找到包含惡意代碼的電子郵件訊息上採取動作。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應技術社群。