EmailAttachmentInfo tablosu için sorgular
Azure portalında bu sorguları kullanma hakkında bilgi için bkz . Log Analytics öğreticisi. REST API için bkz . Sorgu.
Kötü amaçlı gönderenden gelen dosyalar
Kuruluşunuzdaki kötü amaçlı bir gönderen tarafından seçilen zaman çerçevesinde gönderilen dosyaların ilk görünümünü bulur. Önceki görünümleri görmek için lütfen seçili zaman aralığını artırın.
let MaliciousSender = "<insert the sender email address>";
EmailAttachmentInfo
| where SenderFromAddress =~ MaliciousSender
| project SHA256 = tolower(SHA256)
| join (
DeviceFileEvents
) on SHA256
| summarize FirstAppearance = min(Timestamp) by DeviceName, SHA256, FileName
| take 100
Ekleri olan dış etki alanlarına e-postalar
Ekleri içeren bir dış etki alanına gönderilen e-postalar.
EmailEvents
| where EmailDirection == "Outbound" and AttachmentCount > 0
| join EmailAttachmentInfo on NetworkMessageId
| project Timestamp, Subject, SenderFromAddress, RecipientEmailAddress, NetworkMessageId, FileName, AttachmentCount
| take 1000