Запросы к таблице EmailAttachmentInfo

Для получения сведений об использовании этих запросов в портале Azure, см. учебное пособие по Log Analytics. Сведения о REST API см. в разделе "Запрос".

Файлы от вредоносного отправителя

Находит первое появление файлов, отправленных вредоносным отправителем в вашей организации, в выбранном временном интервале. Чтобы просмотреть предыдущие появления, увеличьте выбранный диапазон времени.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Сообщения электронной почты во внешних доменах с вложениями

Сообщения электронной почты, отправляемые внешнему домену, включающее вложения.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000