EmailPostDeliveryEvents

Gäller för:

  • Microsoft Defender XDR

Tabellen EmailPostDeliveryEvents i det avancerade jaktschemat innehåller information om åtgärder efter leverans som vidtas för e-postmeddelanden som bearbetas av Microsoft 365. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.

Om du vill ha mer information om enskilda e-postmeddelanden kan du också använda tabellerna EmailEventsEmailUrlInfo , EmailAttachmentInfooch . Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen registrerades
NetworkMessageId string Unik identifierare för e-postmeddelandet som genereras av Microsoft 365
InternetMessageId string Offentlig identifierare för e-postmeddelandet som anges av det sändande e-postsystemet
Action string Åtgärd som vidtagits för entiteten
ActionType string Typ av aktivitet som utlöste händelsen: Manuell reparation, Phish ZAP, Malware ZAP
ActionTrigger string Anger om en åtgärd utlöstes av en administratör (manuellt eller genom godkännande av en väntande automatiserad åtgärd) eller av någon särskild mekanism, till exempel en ZAP eller dynamisk leverans
ActionResult string Resultatet av åtgärden
RecipientEmailAddress string Email adress till mottagaren eller e-postadressen till mottagaren efter distributionslistans expansion
DeliveryLocation string Plats där e-postmeddelandet levererades: Inkorg/mapp, Lokalt/externt, Skräppost, Karantän, Misslyckades, Borttaget, Borttaget objekt
ThreatTypes string Bedömning från e-postfiltreringsstacken om huruvida e-postmeddelandet innehåller skadlig kod, nätfiske eller andra hot
DetectionMethods string Metoder som används för att identifiera skadlig kod, nätfiske eller andra hot som finns i e-postmeddelandet
ReportId string Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.

Händelsetyper som stöds

Den här tabellen samlar in händelser med följande ActionType värden:

  • Manuell reparation – En administratör vidtog åtgärder manuellt för ett e-postmeddelande efter att det levererats till användarpostlådan. Detta inkluderar åtgärder som vidtas manuellt via Threat Explorer eller godkännanden av automatiska åtgärder för undersökning och svar (AIR).
  • Nätfiske-ZAPAutomatisk rensning utan timme (ZAP) vidtog åtgärder på ett nätfiskemeddelande efter leverans.
  • ZAP för skadlig kod – Automatisk rensning utan timme (ZAP) vidtog åtgärder för ett e-postmeddelande som hittades som innehåller skadlig kod efter leverans.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.