EmailEvents

Aplica-se a:

  • Microsoft Defender XDR

A EmailEvents tabela no esquema avançado de caça contém informações sobre eventos envolvendo o processamento de emails em Microsoft Defender para Office 365. Use essa referência para criar consultas que retornam informações dessa tabela.

Dica

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
NetworkMessageId string Identificador exclusivo para o email, gerado pelo Microsoft 365
InternetMessageId string Identificador público do email definido pelo seu sistema de envio
SenderMailFromAddress string Endereço de email do remetente no cabeçalho EMAIL DE, também conhecido como remetente do envelope ou endereço do caminho de retorno
SenderFromAddress string Endereço de email do remetente no cabeçalho DE, visível para os destinatários dos seus clientes de email
SenderDisplayName string Nome do remetente exibido no catálogo de endereços, normalmente uma combinação de um determinado ou primeiro nome, uma inicial do meio e um sobrenome ou sobrenome
SenderObjectId string Identificador exclusivo para a conta do remetente em Microsoft Entra ID
SenderMailFromDomain string Domínio do remetente no cabeçalho EMAIL DE, também conhecido como remetente do envelope ou endereço do caminho de retorno
SenderFromDomain string Domínio do remetente no cabeçalho DE, visível para os destinatários dos seus clientes de email
SenderIPv4 string Endereço IPv4 do último servidor de email detectado que retransmitiu a mensagem
SenderIPv6 string Endereço IPv6 do último servidor de email detectado que retransmitiu a mensagem
RecipientEmailAddress string Endereço de email do destinatário ou endereço de email do destinatário após a expansão da lista de distribuição
RecipientObjectId string Identificador exclusivo para o destinatário de email no Microsoft Entra ID
Subject string Assunto do email
EmailClusterId long Identificador do grupo de emails semelhantes clusterizados com base na análise heurística de seu conteúdo
EmailDirection string Direção do email em relação à sua rede: Entrada, Saída, Intra-org
DeliveryAction string Ação de entrega do email: Entregue, Lixo Eletrônico, Bloqueado ou Substituído
DeliveryLocation string Local onde o email foi entregue: Caixa de Entrada/Pasta, Local/Externo, Tratado como Lixo Eletrônico, Quarentena, Falha, Descartado, Itens excluídos
ThreatTypes string Veredicto da pilha de filtragem de email sobre se o email contém malware, phishing ou outras ameaças
ThreatNames string Nome de detecção para malware ou outras ameaças encontradas
DetectionMethods string Métodos usados para detectar malware, phishing ou outras ameaças encontradas no email
ConfidenceLevel string Lista de níveis de confiança de quaisquer veredictos de spam ou phishing. Para spam, esta coluna mostra o nível de confiança de spam (SCL), indicando se o email foi ignorado (-1), considerado não spam (0,1), encontrado como spam com confiança moderada (5,6) ou considerado spam com alta confiança (9). Para phishing, esta coluna exibe se o nível de confiança é "Alto" ou "Baixo".
BulkComplaintLevel int Limite atribuído ao email de carteiros em massa, um BCL (alto nível de reclamação em massa) significa que o email é mais propenso a gerar reclamações e, portanto, mais provável que seja spam
EmailAction string Ação final tomada no email com base no veredicto de filtro, políticas e ações do usuário: mover mensagem para a pasta lixo eletrônico, Adicionar cabeçalho X, Modificar assunto, Mensagem de redirecionamento, Excluir mensagem, enviar para quarentena, Nenhuma ação tomada, mensagem Bcc
EmailActionPolicy string Política de ação que entrou em vigor: Alta confiança do antispam, Antispam, Email em massa do antispam, Phishing do antispam, Representação do domínio de antiphishing, Representação do usuário de antiphishing, Falsificação do antiphishing, Representação do gráfico de Antiphishing, Antimalware, Anexos Seguros, Regras de Transporte Corporativo (ETR)
EmailActionPolicyGuid string Identificador exclusivo da política que determinou a ação final do email
AuthenticationDetails string Lista de veredictos de aprovação ou fail por protocolos de autenticação por email como DMARC, DKIM, SPF ou uma combinação de vários tipos de autenticação (CompAuth)
AttachmentCount int Número de anexos no email
UrlCount int Número de URLs inseridas no email
EmailLanguage string Idioma detectado do conteúdo do email
Connectors string Instruções personalizadas que definem o fluxo de email organizacional e como o email foi roteado
OrgLevelAction string Ação tomada no email em resposta a correspondências a uma política definida no nível organizacional
OrgLevelPolicy string Política organizacional que desencadeou a ação tomada no email
UserLevelAction string Ação tomada no email em resposta a correspondências a uma política de caixa de correio definida pelo destinatário
UserLevelPolicy string Política de caixa de correio do usuário final que desencadeou a ação tomada no email
ReportId string Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp.
AdditionalFields string Informações adicionais sobre a entidade ou evento
LatestDeliveryLocation* string Último local conhecido do email
LatestDeliveryAction* string Última ação conhecida tentada em um email pelo serviço ou por um administrador por meio de correção manual

Observação

* As LatestDeliveryLocation colunas e LatestDeliveryActionnão estão disponíveis na API de Streaming.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.