EmailPostDeliveryEvents
Si applica a:
- Microsoft Defender XDR
La EmailPostDeliveryEvents
tabella nello schema di ricerca avanzata contiene informazioni sulle azioni post-recapito eseguite sui messaggi di posta elettronica elaborati da Microsoft 365. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionType
valori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per ottenere altre informazioni sui singoli messaggi di posta elettronica, è anche possibile usare le EmailEvents
tabelle , EmailAttachmentInfo
e EmailUrlInfo
. Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Nome colonna | Tipo di dati | Descrizione |
---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
NetworkMessageId |
string |
Identificatore univoco per il messaggio di posta elettronica, generato da Microsoft 365 |
InternetMessageId |
string |
Identificatore pubblico per il messaggio di posta elettronica impostato dal sistema di invio |
Action |
string |
Azione eseguita sull'entità |
ActionType |
string |
Tipo di attività che ha attivato l'evento: correzione manuale, Phish ZAP, Malware ZAP |
ActionTrigger |
string |
Indica se un'azione è stata attivata da un amministratore (manualmente o tramite l'approvazione di un'azione automatizzata in sospeso) o da un meccanismo speciale, ad esempio zap o recapito dinamico |
ActionResult |
string |
Risultato dell'azione |
RecipientEmailAddress |
string |
Indirizzo di posta elettronica del destinatario o indirizzo di posta elettronica del destinatario dopo l'espansione della lista di distribuzione |
DeliveryLocation |
string |
Posizione di recapito del messaggio di posta elettronica: cartella Posta in arrivo, locale/esterno, Posta indesiderata, Quarantena, invio non riuscito, non elaborato, Elementi eliminati |
ThreatTypes |
string |
Verdetto dello stack di filtro della posta elettronica in base al fatto che il messaggio di posta elettronica contenga malware, phishing o altre minacce |
DetectionMethods |
string |
Metodi usati per rilevare malware, phishing o altre minacce presenti nel messaggio di posta elettronica |
ReportId |
string |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
Tipi di evento supportati
Questa tabella acquisisce gli eventi con i valori seguenti ActionType
:
- Correzione manuale : un amministratore ha intrapreso manualmente un'azione su un messaggio di posta elettronica dopo che è stato recapitato alla cassetta postale dell'utente. Sono incluse le azioni eseguite manualmente tramite Threat Explorer o le approvazioni di azioni di indagine e risposta automatizzate (AIR).
- Phish ZAP - Zero-hour auto purge (ZAP) ha intrapreso un'azione su un messaggio di posta elettronica di phishing dopo la consegna.
- Malware ZAP - Zero-hour auto purge (ZAP) ha intrapreso un'azione su un messaggio di posta elettronica trovato contenente malware dopo il recapito.
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.