Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Information om hur du använder dessa frågor i Azure-portalen finns i Log Analytics-självstudien. Information om REST-API:et finns i Fråga.
Filer från skadlig avsändare
Hittar det första utseendet på filer som skickas av en skadlig avsändare i din organisation vid den valda tidsramen. Om du vill se tidigare utseenden ökar du det valda tidsintervallet.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
E-postmeddelanden till externa domäner med bifogade filer
E-postmeddelanden som skickas till en extern domän som innehåller bifogade filer.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000