EmailEvents

Gilt für:

  • Microsoft Defender XDR

Die EmailEvents Tabelle im Schema für die erweiterte Suche enthält Informationen zu Ereignissen, die die Verarbeitung von E-Mails auf Microsoft Defender for Office 365. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
NetworkMessageId string Eindeutiger Bezeichner für die E-Mail, generiert von Microsoft 365
InternetMessageId string Öffentlich sichtbarer Bezeichner für die E-Mail-Nachricht, die vom sendenden E-Mail-System festgelegt wird
SenderMailFromAddress string Absender-E-Mail-Adresse in der Kopfzeile "MAIL FROM", auch als Umschlagabsender oder als Return-Path-Adresse bezeichnet
SenderFromAddress string Für E-Mail-Empfänger im E-Mail-Client in der FROM-Kopfzeile angezeigte Absender-E-Mail-Adresse
SenderDisplayName string Name des Absenders, der im Adressbuch angezeigt wird, in der Regel eine Kombination aus einem vornamen oder einem vornamen, einem vornamen und einem Nachnamen
SenderObjectId string Eindeutiger Bezeichner für das Konto des Absenders in Microsoft Entra ID
SenderMailFromDomain string Absender-Domäne in der Kopfzeile "MAIL FROM", auch als Umschlagabsender oder als Return-Path-Adresse bezeichnet
SenderFromDomain string Absender-Domäne in der Kopfzeile "FROM", die für E-Mail-Empfänger in ihren E-Mail-Clients sichtbar ist
SenderIPv4 string Die IPv4-Adresse des letzten feststellbaren E-Mail-Servers, der die Nachricht weitergeleitet hat
SenderIPv6 string Die IPv6-Adresse des letzten feststellbaren E-Mail-Servers, der die Nachricht weitergeleitet hat
RecipientEmailAddress string E-Mail-Adresse des Empfängers oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste
RecipientObjectId string Eindeutiger Bezeichner für den E-Mail-Empfänger in Microsoft Entra ID
Subject string Betreff der E-Mail
EmailClusterId long Bezeichner für die Gruppe von ähnlichen E-Mail-Nachrichten, die auf Basis der heuristischen Analyse ihrer Inhalte gruppiert sind
EmailDirection string Richtung der E-Mail relativ zu Ihrem Netzwerk: Eingehend, ausgehend, organisationsintern
DeliveryAction string Zustellungsaktion der E-Mail: übermittelt, als Junk eingestuft, blockiert oder ersetzt
DeliveryLocation string Der Ort, an den die E-Mail zugestellt wurde: "Posteingang/Ordner", "lokal"/"extern", "Junk", "Quarantäne", "Fehler", „Verloren“ oder "Gelöschte Elemente"
ThreatTypes string Bewertung des E-Mail-Filterstapels, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält
ThreatNames string Erkennungsname für Gefundene Schadsoftware oder andere Bedrohungen
DetectionMethods string Methoden zum Erkennen von Schadsoftware, Phishing oder anderen Bedrohungen in der E-Mail
ConfidenceLevel string Liste der Zuverlässigkeitsstufen von Spam- oder Phishing-Bewertungen. Für Spam zeigt diese Spalte den Spam-Konfidenzgrad (SCL) an, der angibt, ob die E-Mail übersprungen wurde (-1), als kein Spam (0,1), als Spam mit mäßiger Zuverlässigkeit (5,6) oder als Spam mit hoher Zuverlässigkeit (9) eingestuft wurde. Für Phishing wird in dieser Spalte angezeigt, ob das Konfidenzniveau "Hoch" oder "Niedrig" ist.
BulkComplaintLevel int Der Schwellenwert, der E-Mails von Massenmailern zugewiesen wird, bedeutet eine hohe Massenbeschwerdeebene (BCL), dass die E-Mail eher Beschwerden generiert und daher eher Spam ist.
EmailAction string Letzte Aktion für die E-Mail basierend auf Filterbewertung, Richtlinien und Benutzeraktionen: Nachricht in Junk-E-Mail-Ordner verschieben, X-Header hinzufügen, Betreff ändern, Nachricht umleiten, Nachricht löschen, In Quarantäne senden, Keine Aktion ausgeführt, Bcc-Nachricht
EmailActionPolicy string Aktionsrichtlinie, die in Kraft getreten ist: Antispam-Hochsicherheit, Antispam, Antispam-Massen-E-Mail, Antispam-Phishing, Anti-Phishing-Domänenidentitätswechsel, Antiphishing-Benutzeridentitätswechsel, Antiphishing-Spoofing, Anti-Phishing-Grafik-Identitätswechsel, Antimalware, Sichere Anlagen, Enterprise Transport Rules (ETR)
EmailActionPolicyGuid string Eindeutiger Bezeichner für die Richtlinie, welche die endgültige E-Mail-Aktion ermittelt hat
AuthenticationDetails string Liste der Erfolgreich- oder Fail-Bewertungen nach E-Mail-Authentifizierungsprotokollen wie DMARC, DKIM, SPF oder einer Kombination mehrerer Authentifizierungstypen (CompAuth)
AttachmentCount int Anzahl der Anlagen in der E-Mail
UrlCount int Anzahl der eingebetteten URLs in der E-Mail
EmailLanguage string Erkannte Sprache des E-Mail-Inhalts
Connectors string Benutzerdefinierte Anweisungen, die den E-Mail-Fluss der Organisation und die Weiterleitung der E-Mail definieren
OrgLevelAction string Aktion für die E-Mail als Reaktion auf Übereinstimmungen mit einer auf Organisationsebene definierten Richtlinie
OrgLevelPolicy string Organisationsrichtlinie, die die aktion ausgelöst hat, die für die E-Mail ausgeführt wurde
UserLevelAction string Aktion für die E-Mail als Reaktion auf Übereinstimmungen mit einer vom Empfänger definierten Postfachrichtlinie
UserLevelPolicy string Postfachrichtlinie für Endbenutzer, die die aktion ausgelöst hat, die für die E-Mail ausgeführt wurde
ReportId string Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden.
AdditionalFields string Zusätzliche Informationen zur Entität oder zum Ereignis
LatestDeliveryLocation* string Letzter bekannter Speicherort der E-Mail
LatestDeliveryAction* string Letzte bekannte Aktion, die vom Dienst oder von einem Administrator durch manuelle Korrektur an einer E-Mail versucht wurde

Hinweis

* Die LatestDeliveryLocation Spalten und LatestDeliveryAction sind in der Streaming-API nicht verfügbar.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.