Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица MessageEvents в схеме расширенной охоты содержит сведения о сообщениях, отправленных и полученных в организации во время доставки. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Эта расширенная таблица охоты заполняется записями из Microsoft Defender для Office 365. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании Defender для Office 365 в Defender XDR см. в статье Развертывание поддерживаемых служб.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
LastEditedTime |
string |
Дата и время последнего изменения сообщения |
TeamsMessageId |
string |
Уникальный идентификатор сообщения, созданный Microsoft 365 |
SenderEmailAddress |
string |
Email адрес отправителя |
SenderDisplayName |
string |
Имя отправителя, отображаемое в адресной книге, обычно это сочетание имени, среднего инициала и фамилии или фамилии |
SenderObjectId |
string |
Уникальный идентификатор учетной записи отправителя |
SenderType |
string |
Тип пользователя, отправляющего сообщение, например User, Group, Anonymous |
RecipientDetails |
dynamic |
Массив данных получателя (RecipientSmtpAddress, RecipientDisplayName, RecipientType, RecipientObjectId) |
IsOwnedThread |
boolean |
Логическое значение, указывающее, принадлежит ли сообщение вашей организации (можно исправить только сообщения, принадлежащие вашей организации). |
MessageId |
string |
Идентификатор сообщения (неуникальный) |
ParentMessageId |
string |
Идентификатор сообщения, на которое текущее сообщение было ответом. В противном случае это то же самое, что и MessageId. |
GroupId |
string |
Идентификатор команды или группы, в которую было отправлено сообщение |
GroupName |
string |
Имя команды или группы, в которую было отправлено сообщение |
ThreadId |
string |
Идентификатор канала или потока чата, частью в который входит сообщение |
ThreadSubtype |
string |
Указывает тип канала, возможные значения: None, PrivateChannel |
IsExternalThread |
boolean |
Указывает, есть ли внешние получатели в потоке (1) или нет (0) |
MessageFormatType |
string |
Тип формата сообщения; возможные значения: RichText, Text |
MessageFormatSubtype |
string |
Подтип формата сообщения, например HTML |
MessageVersion |
string |
Номер версии сообщения |
MessageSubject |
string |
Тема сообщения, если она существует |
ThreatTypes |
string |
Вердикт из стека фильтрации о том, содержит ли сообщение вредоносные программы, фишинг или другие угрозы |
DetectionMethods |
dynamic |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении |
ConfidenceLevel |
dynamic |
Список уровней достоверности для каждого идентифицированного типа угрозы |
DeliveryAction |
string |
Действие доставки сообщения: доставлено, заблокировано |
DeliveryLocation |
string |
Расположение сообщения на момент доставки |
ReportId |
string |
Уникальный идентификатор события |
SafetyTip |
string |
Советы по безопасности, добавленные в сообщение, если таковые имеются |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.