EmailPostDeliveryEvents

Gilt für:

  • Microsoft Defender XDR

Die EmailPostDeliveryEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Aktionen nach der Übermittlung, die für von Microsoft 365 verarbeitete E-Mail-Nachrichten ausgeführt werden. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Um weitere Informationen zu einzelnen E-Mail-Nachrichten zu erhalten, können Sie auch die EmailEventsTabellen , EmailAttachmentInfound EmailUrlInfo verwenden. Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
NetworkMessageId string Eindeutiger Bezeichner für die E-Mail, generiert von Microsoft 365
InternetMessageId string Öffentlich sichtbarer Bezeichner für die E-Mail-Nachricht, die vom sendenden E-Mail-System festgelegt wird
Action string Für die Entität ausgeführte Aktion
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat: Manuelle Wartung, Phish ZAP, Malware ZAP
ActionTrigger string Gibt an, ob eine Aktion von einem Administrator (manuell oder durch Genehmigung einer ausstehenden automatisierten Aktion) oder durch einen speziellen Mechanismus wie zap oder Dynamic Delivery ausgelöst wurde.
ActionResult string Ergebnis der Aktion
RecipientEmailAddress string E-Mail-Adresse des Empfängers oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste
DeliveryLocation string Der Ort, an den die E-Mail zugestellt wurde: "Posteingang/Ordner", "lokal"/"extern", "Junk", "Quarantäne", "Fehler", „Verloren“ oder "Gelöschte Elemente"
ThreatTypes string Bewertung des E-Mail-Filterstapels, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält
DetectionMethods string Methoden zum Erkennen von Schadsoftware, Phishing oder anderen Bedrohungen in der E-Mail
ReportId string Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden.

Unterstützte Ereignistypen

Diese Tabelle erfasst Ereignisse mit den folgenden ActionType Werten:

  • Manuelle Korrektur : Ein Administrator hat manuell Maßnahmen für eine E-Mail-Nachricht ausgeführt, nachdem sie an das Benutzerpostfach übermittelt wurde. Dies umfasst aktionen, die manuell über threat Explorer oder genehmigungen von automatisierten Untersuchungs- und Reaktionsaktionen (AIR) ausgeführt werden.
  • Phish ZAPZero-Hour Auto Purge (ZAP) hat eine Aktion auf eine Phishing-E-Mail nach der Zustellung ergriffen.
  • Malware ZAP – Zero-Hour Auto Purge (ZAP) hat eine Aktion auf eine E-Mail-Nachricht ausgeführt, die nach der Zustellung Schadsoftware enthält.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.