EmailEvents

S’applique à :

  • Microsoft Defender XDR

Le EmailEvents tableau du schéma de repérage avancé contient des informations sur les événements impliquant le traitement des e-mails sur Microsoft Defender pour Office 365. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
NetworkMessageId string Identificateur unique de l’e-mail, généré par Microsoft 365
InternetMessageId string Identificateur public de l’e-mail défini par le système de courrier d’envoi
SenderMailFromAddress string Adresse e-mail de l’expéditeur dans l’en-tête MAIL FROM, également appelé expéditeur d’enveloppe ou adresse de retour
SenderFromAddress string Adresse e-mail de l’expéditeur dans l’en-tête DE, visible par les destinataires de l’e-mail sur leurs clients de messagerie
SenderDisplayName string Nom de l’expéditeur affiché dans le carnet d’adresses, généralement une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille
SenderObjectId string Identificateur unique du compte de l’expéditeur dans Microsoft Entra ID
SenderMailFromDomain string Domaine de l’expéditeur dans l’en-tête MAIL FROM, également appelé expéditeur d’enveloppe ou adresse de retour
SenderFromDomain string Domaine e-mail de l’expéditeur dans l’en-tête DE, visible par les destinataires de l’e-mail sur leurs clients de messagerie
SenderIPv4 string Adresse IPv4 du dernier serveur de messagerie détecté qui a relayé le message
SenderIPv6 string Adresse IPv6 du dernier serveur de messagerie détecté qui a relayé le message
RecipientEmailAddress string Adresse e-mail du destinataire ou adresse e-mail du destinataire après extension de la liste de distribution
RecipientObjectId string Identificateur unique du destinataire de l’e-mail dans Microsoft Entra ID
Subject string Objet de l’e-mail
EmailClusterId long Identificateur du groupe des e-mails similaires ordonnés en fonction de l’analyse heuristique de leur contenu.
EmailDirection string Direction de l’e-mail par rapport à votre réseau : entrant, sortant, intra-organisation
DeliveryAction string Action de livraison de l'e-mail : remis, courrier indésirable, bloqué ou remplacé
DeliveryLocation string Emplacement de remise du courrier électronique : boîte de réception/dossier, local/externe, courrier indésirable, quarantaine, échec, supprimé, éléments supprimés
ThreatTypes string Verdict de la pile de filtrage des e-mails indiquant si l’e-mail contient des programmes malveillants, des hameçonnages ou d’autres menaces
ThreatNames string Nom de détection des programmes malveillants ou d’autres menaces détectés
DetectionMethods string Méthodes utilisées pour détecter les programmes malveillants, le hameçonnage ou d’autres menaces détectées dans l’e-mail
ConfidenceLevel string Liste des niveaux de confiance des verdicts de courrier indésirable ou d’hameçonnage. Pour le courrier indésirable, cette colonne affiche le niveau de confiance du courrier indésirable (SCL), indiquant si l’e-mail a été ignoré (-1), s’il n’est pas du courrier indésirable (0,1), s’il s’agit d’un courrier indésirable avec un niveau de confiance modéré (5,6) ou s’il s’agit d’un courrier indésirable avec un niveau de confiance élevé (9). Pour le hameçonnage, cette colonne indique si le niveau de confiance est « Élevé » ou « Faible ».
BulkComplaintLevel int Seuil attribué aux e-mails des expéditeurs en bloc, un niveau élevé de plainte en bloc (BCL) signifie que l’e-mail est plus susceptible de générer des plaintes, et donc plus susceptible d’être du courrier indésirable
EmailAction string Action finale effectuée sur l’e-mail en fonction du verdict de filtre, des stratégies et des actions de l’utilisateur : Déplacer le message vers le dossier courrier indésirable, Ajouter un en-tête X, Modifier l’objet, Rediriger le message, Supprimer le message, Envoyer en quarantaine, Aucune action effectuée, Message cci
EmailActionPolicy string Stratégie d’action appliquée : antispam hautement fiable, anti-courrier indésirable, antispam, courrier indésirable de courrier indésirable, emprunt d’identité de domaine anti-hameçonnage, emprunt d’identité d’utilisateur anti-hameçonnage, usurpation d’identité anti-hameçonnage, emprunt d’identité de graphe anti-hameçonnage, anti-programme malveillant, sécurité pièces jointes, règles de transport d’entreprise (ETR)
EmailActionPolicyGuid string Identificateur unique de la stratégie qui a déterminé l’action de courrier finale
AuthenticationDetails string Liste des verdicts de réussite ou d’échec par protocoles d’authentification par e-mail comme DMARC, DKIM, SPF ou une combinaison de types d’authentification multiples (CompAuth)
AttachmentCount int Nombre de pièces jointes dans l’e-mail.
UrlCount int Nombre d’URL incorporées dans l’e-mail
EmailLanguage string Langue détectée du contenu de l’e-mail
Connectors string Instructions personnalisées qui définissent le flux de messagerie de l’organisation et la façon dont l’e-mail a été routé
OrgLevelAction string Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie définie au niveau de l’organisation
OrgLevelPolicy string Stratégie organisationnelle qui a déclenché l’action effectuée sur l’e-mail
UserLevelAction string Action effectuée sur l’e-mail en réponse aux correspondances à une stratégie de boîte aux lettres définie par le destinataire
UserLevelPolicy string Stratégie de boîte aux lettres de l’utilisateur final qui a déclenché l’action effectuée sur l’e-mail
ReportId string Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.
AdditionalFields string Informations supplémentaires sur l’entité ou l’événement
LatestDeliveryLocation* string Dernier emplacement connu de l’e-mail
LatestDeliveryAction* string Dernière action connue tentée sur un e-mail par le service ou par un administrateur par le biais d’une correction manuelle

Remarque

* Les LatestDeliveryLocation colonnes et LatestDeliveryActionne sont pas disponibles dans l’API de streaming.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.