Requêtes pour la table EmailAttachmentInfo

  • Article

Pour plus d’informations sur l’utilisation de ces requêtes dans le Portail Azure, consultez le didacticiel Log Analytics. Pour l’API REST, consultez Requête.

Fichiers provenant d’un expéditeur malveillant

Recherche la première apparence des fichiers envoyés par un expéditeur malveillant dans votre organisation au moment sélectionné. Pour afficher les apparences antérieures, augmentez l’intervalle de temps sélectionné.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

E-mails vers des domaines externes avec des pièces jointes

E-mails envoyés à un domaine externe qui inclut des pièces jointes.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000