Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица EmailAttachmentInfo в схеме расширенной охоты содержит сведения о вложениях в сообщениях электронной почты, обработанных Microsoft Defender для Office 365. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Эта расширенная таблица охоты заполняется записями из Defender для Office 365. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании Defender для Office 365 в Defender XDR см. в статье Развертывание поддерживаемых служб.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
SenderFromAddress |
string |
Адрес электронной почты отправителя в заголовке "ОТ", который получатели электронной почты видят в своих почтовых клиентах |
SenderDisplayName |
string |
Имя отправителя, отображаемое в адресной книге, как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии |
SenderObjectId |
string |
Уникальный идентификатор учетной записи отправителя в Microsoft Entra ID |
RecipientEmailAddress |
string |
Адрес электронной почты получателя или адрес электронной почты получателя после расширения списка рассылки |
RecipientObjectId |
string |
Уникальный идентификатор получателя электронной почты в Microsoft Entra ID |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FileType |
string |
Тип расширения файла |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
FileSize |
long |
Размер файла в байтах |
ThreatTypes |
string |
Вердикт из стека фильтрации электронной почты о том, содержит ли сообщение вредоносное ПО, фишинг или другие угрозы |
ThreatNames |
string |
Имя обнаружения обнаруженных вредоносных программ или других угроз |
DetectionMethods |
string |
Методы, используемые для обнаружения вредоносных программ, фишинга или других угроз, обнаруженных в сообщении электронной почты |
ReportId |
string |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.