Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица EmailEvents в схеме расширенной охоты содержит сведения о событиях, связанных с обработкой сообщений электронной почты на Microsoft Defender для Office 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, используйте встроенную ссылку на схему, доступную на портале Defender.
Эта расширенная таблица охоты заполняется записями из Defender для Office 365. Если ваша организация не развернула службу в Microsoft Defender, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании Defender для Office 365 на портале Defender см. в статье "Развертывание поддерживаемых служб".
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
InternetMessageId |
string |
Общедоступный идентификатор сообщения электронной почты, устанавливаемый системой отправки электронной почты |
SenderMailFromAddress |
string |
Адрес отправителя электронной почты в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path" |
SenderFromAddress |
string |
Адрес электронной почты отправителя в заголовке "ОТ", который получатели электронной почты видят в своих почтовых клиентах |
SenderDisplayName |
string |
Имя отправителя, отображаемое в адресной книге, как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии |
SenderObjectId |
string |
Уникальный идентификатор учетной записи отправителя в Microsoft Entra ID |
SenderMailFromDomain |
string |
Домен отправителя в заголовке "MAIL FROM", также называемый "отправителем конверта" или "адресом Return-Path" |
SenderFromDomain |
string |
Домен отправителя электронной почты в заголовке "FROM", который получатели электронной почты видят в своих почтовых клиентах |
SenderIPv4 |
string |
IPv4-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
SenderIPv6 |
string |
IPv6-адрес последнего обнаруженного почтового сервера, который ретранслировал сообщение. |
RecipientEmailAddress |
string |
Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки |
RecipientObjectId |
string |
Уникальный идентификатор получателя электронной почты в Microsoft Entra ID |
Subject |
string |
Тема письма |
EmailClusterId |
long |
Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания |
EmailDirection |
string |
Направление электронной почты относительно вашей сети: Входящие, Исходящие, Внутри организации |
DeliveryAction |
string |
Действие доставки сообщения электронной почты: "Доставлено", "Спам", "Заблокировано" или "Заменено" |
DeliveryLocation |
string |
Место доставки сообщения: "Входящие" или другая папка, локальная или внешняя среда, "Спам", "Карантин", "Не выполнено", "Отброшенные" или "Удаленные" |
ThreatTypes |
string |
Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы |
ThreatNames |
string |
Имя обнаружения обнаруженных вредоносных программ или других угроз |
DetectionMethods |
string |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты |
ConfidenceLevel |
string |
Список уровней достоверности любых спама или фишинговых вердиктов. Для спама в этом столбце показан уровень достоверности нежелательной почты (SCL), указывающий, было ли сообщение пропущено (-1), не было ли спамом (0,1), было ли установлено, что оно является спамом с умеренной достоверностью (5,6) или оказалось ли спамом с высокой достоверностью (9). Для фишинга в этом столбце отображается уровень достоверности "Высокий" или "Низкий". |
BulkComplaintLevel |
int |
Пороговое значение, присвоенное электронной почте от массовых почтовых рассылки. Высокий уровень массовой жалобы (BCL) означает, что электронная почта с большей вероятностью будет генерировать жалобы, и, следовательно, скорее всего, будет спамом. |
EmailAction |
string |
Окончательное действие, выполняемое по электронной почте на основе вердикта фильтра, политик и действий пользователя: Перемещение сообщения в папку нежелательной почты, добавление X-заголовка, изменение темы, сообщение перенаправления, удаление сообщения, отправка в карантин, отсутствие действий, сообщение ск |
EmailActionPolicy |
string |
Примененная политика действий: защита от спама с высокой вероятностью, защита от спама, защита от спама для массовых рассылок, защита от спама фишинга, защита от фишинга — олицетворение доменов, защита от фишинга — олицетворение пользователей, защита от фишинга — спуфинг, защита от фишинга — олицетворение диаграмм, защита от вредоносных программ, безопасные вложения, корпоративные правила транспорта (ETR) |
EmailActionPolicyGuid |
string |
Уникальный идентификатор политики, определяющей итоговое действие для сообщения электронной почты |
AuthenticationDetails |
string |
Список вердиктов по электронной почте, таких как DMARC, DKIM, SPF или сочетание нескольких типов проверки подлинности (CompAuth) |
AttachmentCount |
int |
Количество вложений в сообщении электронной почты |
UrlCount |
int |
Количество встроенных URL-адресов в сообщении электронной почты |
EmailLanguage |
string |
Обнаруженный язык сообщения электронной почты |
Connectors |
string |
Пользовательские инструкции, определяющие поток обработки почты в организации и способ маршрутизации электронной почты |
OrgLevelAction |
string |
Действия, принятые по электронной почте в ответ на соответствие политике, определенной на уровне организации |
OrgLevelPolicy |
string |
Политика организации, активировающая действие, выполняемое по электронной почте |
UserLevelAction |
string |
Действие, выполняемое по электронной почте в ответ на соответствие политике почтового ящика, определенной получателем |
UserLevelPolicy |
string |
Политика почтовых ящиков конечных пользователей, активировав действие, выполняемое по электронной почте |
ReportId |
string |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AdditionalFields |
string |
Дополнительные сведения о сущности или событии |
LatestDeliveryLocation* |
string |
Последнее известное расположение сообщения электронной почты |
LatestDeliveryAction* |
string |
Последнее известное действие, предпринятое службой или администратором по электронной почте путем ручного исправления |
DistributionList |
string |
Имя списка рассылки (DL), в который было отправлено сообщение электронной почты, если применимо; в случаях вложенных списков DLs отображается список верхнего уровня. |
ExchangeTransportRule |
string |
Правила потока почты (также известные как правила транспорта), которые приняли меры по электронной почте во время его передачи; Правила потока обработки почты похожи на правила папки "Входящие", доступные в Outlook и Outlook в Интернете |
ForwardingInformation |
string |
Массив JSON сведений о пересылке, включая пользователя пересылки и тип пересылки |
Context |
string |
Контекст защиты, в котором выполнялось обнаружение, например, защита учетных записей приоритета |
To |
string |
Адреса, перечисленные в полях "To" сообщения электронной почты |
Cc |
string |
Адреса, перечисленные в полях "Копия" электронной почты |
ThreatClassification |
string |
Классификация угроз, примененная к электронной почте |
RecipientDomain |
string |
Адрес домена получателя |
EmailSize |
long |
Размер сообщения электронной почты в байтах |
IsFirstContact |
int |
Является ли сообщение первым контактом между отправителем и получателем (1, если да, 0, если нет) |
Примечание.
* Столбцы LatestDeliveryLocation и LatestDeliveryActionнедоступны в API потоковой передачи.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.