EmailAttachmentInfo tablosu için sorgular

Azure portalında bu sorguları kullanma hakkında bilgi için bkz . Log Analytics öğreticisi. REST API için bkz . Sorgu.

Kötü amaçlı gönderenden gelen dosyalar

Kuruluşunuzdaki kötü amaçlı bir gönderen tarafından seçilen zaman çerçevesinde gönderilen dosyaların ilk görünümünü bulur. Önceki görünümleri görmek için lütfen seçili zaman aralığını artırın.

let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName 
| take 100

Ekleri olan dış etki alanlarına e-postalar

Ekleri içeren bir dış etki alanına gönderilen e-postalar.

EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId 
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount 
| take 1000