EmailEvents
高级搜寻架构中的表包含有关涉及处理Microsoft Defender for Office 365电子邮件的事件的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
此高级搜寻表由Defender for Office 365中的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署Defender for Office 365的详细信息,请阅读部署受支持的服务。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
NetworkMessageId |
string |
由 Microsoft 365 生成的电子邮件的唯一标识符 |
InternetMessageId |
string |
发送电子邮件系统设置的电子邮件的面向公众的标识符 |
SenderMailFromAddress |
string |
“发件人”标题(又称为“信件发送方”或“返回路径地址”)中的发件人电子邮件地址 |
SenderFromAddress |
string |
发件人标题中的发件人电子邮件地址(电子邮件收件人在其电子邮件客户端上可以看到) |
SenderDisplayName |
string |
通讯簿中显示的发件人姓名,通常是给定或名字、中间首字母以及姓氏或姓氏的组合 |
SenderObjectId |
string |
Microsoft Entra ID中发件人帐户的唯一标识符 |
SenderMailFromDomain |
string |
“发件人”标题(又称为“信件发送方”或“返回路径地址”)中的发件人域 |
SenderFromDomain |
string |
发件人标题中的发件人域(电子邮件收件人在其电子邮件客户端上可以看到) |
SenderIPv4 |
string |
最近检测到的中继邮件的邮件服务器的 IPv4 地址 |
SenderIPv6 |
string |
最近检测到的中继邮件的邮件服务器的 IPv6 地址 |
RecipientEmailAddress |
string |
收件人的电子邮件地址,或通讯组列表扩展后收件人的电子邮件地址 |
RecipientObjectId |
string |
Microsoft Entra ID中电子邮件收件人的唯一标识符 |
Subject |
string |
电子邮件主题 |
EmailClusterId |
long |
基于对内容的启发式分析群集的相似电子邮件组的标识符 |
EmailDirection |
string |
相对于网络的电子邮件方向:入站、出站、组织内部 |
DeliveryAction |
string |
电子邮件发送操作:已发送、已标记为垃圾邮件、已阻止或已替换 |
DeliveryLocation |
string |
发送电子邮件的位置:收件箱/文件夹、本地/外部、垃圾箱、隔离区、已失败、已弃用、已删除的邮件 |
ThreatTypes |
string |
电子邮件筛选堆栈中关于电子邮件是否包含恶意软件、网络钓鱼或其他威胁的判断 |
ThreatNames |
string |
检测到的恶意软件或其他威胁的检测名称 |
DetectionMethods |
string |
用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法 |
ConfidenceLevel |
string |
任何垃圾邮件或网络钓鱼判决的置信度列表。 对于垃圾邮件,此列显示垃圾邮件置信度 (SCL) ,指示电子邮件是否跳过 (-1) ,发现不是垃圾邮件 (0,1) ,发现是中等置信度 (5,6) 的垃圾邮件,或是否为高度置信度 (为 9) 的垃圾邮件。 对于钓鱼,此列显示置信度是“高”还是“低”。 |
BulkComplaintLevel |
int |
分配给批量邮件发送者的电子邮件的阈值、 (BCL) 的高批量投诉级别意味着电子邮件更有可能产生投诉,因此更有可能成为垃圾邮件 |
EmailAction |
string |
基于筛选器判决、策略和用户作对电子邮件执行的最后作:将邮件移动到垃圾邮件文件夹、添加 X 标头、修改主题、重定向邮件、删除邮件、发送到隔离区、未采取任何作、密件抄送邮件 |
EmailActionPolicy |
string |
生效的操作策略:反垃圾邮件高可信度、反垃圾邮件、反垃圾邮件批量邮件、反垃圾邮件、反垃圾邮件钓鱼、防钓鱼域模拟、防钓鱼用户模拟、防钓鱼欺骗、防钓鱼图形模拟、反恶意软件、安全附件、企业传输规则 (ETR) |
EmailActionPolicyGuid |
string |
确定最后邮件操作的策略的唯一标识符 |
AuthenticationDetails |
string |
电子邮件身份验证协议(如 DMARC、DKIM、SPF)或多种身份验证类型的组合 (CompAuth) |
AttachmentCount |
int |
电子邮件中的附件数目 |
UrlCount |
int |
电子邮件中的嵌入 URL 数目 |
EmailLanguage |
string |
检测到的电子邮件内容的语言 |
Connectors |
string |
定义组织邮件流以及如何路由电子邮件的自定义说明 |
OrgLevelAction |
string |
针对在组织级别定义的策略的匹配项对电子邮件执行的作 |
OrgLevelPolicy |
string |
触发对电子邮件执行的作的组织策略 |
UserLevelAction |
string |
针对收件人定义的邮箱策略的匹配项对电子邮件执行的作 |
UserLevelPolicy |
string |
触发对电子邮件执行的作的最终用户邮箱策略 |
ReportId |
string |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AdditionalFields |
string |
有关实体或事件的其他信息 |
LatestDeliveryLocation* |
string |
电子邮件的最后已知位置 |
LatestDeliveryAction* |
string |
服务或管理员通过手动修正对电子邮件尝试的上一个已知作 |
注意
LatestDeliveryLocation* 和 LatestDeliveryAction 列在流式处理 API 中不可用。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。