EmailPostDeliveryEvents

Se aplica a:

  • Microsoft Defender XDR

La EmailPostDeliveryEvents tabla del esquema de búsqueda avanzada contiene información sobre las acciones posteriores a la entrega realizadas en los mensajes de correo electrónico procesados por Microsoft 365. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Para obtener más información sobre los mensajes de correo electrónico individuales, también puede usar las EmailEventstablas , EmailAttachmentInfoy EmailUrlInfo . Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
NetworkMessageId string Identificador único del correo electrónico, generado por Microsoft 365
InternetMessageId string Identificador público para el correo electrónico que establece el sistema de correo electrónico de envío.
Action string Acción realizada en la entidad
ActionType string Tipo de actividad que desencadenó el evento: Corrección manual, Phish ZAP, Malware ZAP
ActionTrigger string Indica si un administrador ha desencadenado una acción (manualmente o a través de la aprobación de una acción automatizada pendiente) o por algún mecanismo especial, como un ZAP o una entrega dinámica.
ActionResult string Resultado de la acción
RecipientEmailAddress string Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución.
DeliveryLocation string Ubicación en la que se entregó el correo electrónico: bandeja de entrada / carpeta, local / externo, correo no deseado, cuarentena, erróneo, descartado, elementos eliminados.
ThreatTypes string Veredicto de la pila de filtrado de correo electrónico sobre si el correo electrónico contiene malware, suplantación de identidad (phishing) u otras amenazas
DetectionMethods string Métodos usados para detectar malware, suplantación de identidad (phishing) u otras amenazas que se encuentran en el correo electrónico
ReportId string Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.

Tipos de eventos admitidos

Esta tabla captura eventos con los siguientes ActionType valores:

  • Corrección manual : un administrador tomó medidas manualmente en un mensaje de correo electrónico después de entregarlo al buzón de usuario. Esto incluye las acciones realizadas manualmente a través del Explorador de amenazas o las aprobaciones de acciones automatizadas de investigación y respuesta (AIR).
  • Phish ZAP : la purga automática de cero horas (ZAP) tomó medidas en un correo electrónico de suplantación de identidad (phishing) después de la entrega.
  • ZAP de malware : la purga automática de cero horas (ZAP) tomó medidas en un mensaje de correo electrónico encontrado que contiene malware después de la entrega.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.