Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Office 365-E-Mail-Ereignisse, einschließlich E-Mail-Zustellung und Blockieren von Ereignissen.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| Anzahl der Anhänge | INT | Anzahl der Anlagen in der E-Mail. |
| Authentifizierungsdetails | Zeichenfolge | Liste der bestandenen oder fehlgeschlagenen Bewertungen durch E-Mail-Authentifizierungsprotokolle wie DMARC, DKIM, SPF oder eine Kombination aus mehreren Authentifizierungstypen (CompAuth). |
| _BilledSize | Realzahl | Die Datensatzgröße in Bytes. |
| Massenbeschwerdestufe | INT | Der für E-Mails von Massenmailern festgelegte Schwellenwert bedeutet ein hohes Niveau an Massenbeschwerden (BCL), dass die E-Mail eher Beschwerden generiert und daher wahrscheinlicher als Spam gilt. |
| Cc | dynamisch | Gibt die Adressen an, die in den Feldern "Cc" einer E-Mail aufgeführt sind. |
| Vertrauensniveau | Zeichenfolge | Liste der Konfidenzstufen aller Spam- oder Phishingbewertungen. Bei Spam zeigt diese Spalte den Spam-Konfidenzfaktor (Spam Confidence Level, SCL) an, der angibt, ob die E-Mail übersprungen wurde (-1), als nicht Spam (0,1), als Spam mit moderatem Konfidenzwert (5,6) gefunden wurde oder als Spam mit hoher Vertrauenswürdigkeit (9) erkannt wurde. Bei Phishing zeigt diese Spalte an, ob das Konfidenzniveau "Hoch" oder "Niedrig" ist. |
| Verbinder | Zeichenfolge | Benutzerdefinierte Anweisungen, die den Nachrichtenfluss der Organisation definieren und wie die E-Mail weitergeleitet wurde. |
| Kontext | Zeichenfolge | Konfigurationskontextdaten des Computers |
| DeliveryAction | Zeichenfolge | Aktion der zugestellten E-Mail. |
| Lieferort | Zeichenfolge | Speicherort der zugestellten E-Mail: Posteingang/Ordner, lokal/extern, Junk, Quarantäne, Fehlerhaft, Verworfen, Gelöschte Elemente. |
| Erkennungsmethoden | Zeichenfolge | Übermittlungsaktion der E-Mail: Zugestellt, Junk-E-Mail, blockiert oder ersetzt. |
| Verteilerliste | Zeichenfolge | Name der Verteilerliste, in der der Empfänger Mitglied war und an den die E-Mail gesendet wurde, falls zutreffend; Zeigt die Verteilerliste der obersten Ebene an, wenn geschachtelte Listen beteiligt sind |
| E-Mail-Aktion | Zeichenfolge | Abschließende Aktion für die E-Mail basierend auf Filterbewertung, Richtlinien und Benutzeraktionen: Verschieben von Nachrichten in Junk-E-Mail-Ordner, Hinzufügen von X-Kopfzeile, Betreff ändern, Umleitungsnachricht, Nachricht löschen, an Quarantäne senden, Keine Aktion ausgeführt, Bcc-Nachricht. |
| EmailActionPolicy | Zeichenfolge | Aktionsrichtlinie, die wirksam wurde: Antispam mit hoher Vertrauenswürdigkeit, Antispam, Antispam-Massenmail, Antispam-Phishing, Identitätsdiebstahl von Antiphishingdomänen, Identitätsdiebstahl von Antiphishingbenutzenden, Antiphishingspoof, Antiphishingdiagramm-Identitätsdiebstahl, Antimalware-sichere Anlagen, Enterprise Transport Rules (ETR). |
| EmailActionPolicyGuid | Zeichenfolge | Eindeutiger Bezeichner der Richtlinie, die wirksam wurde. |
| EmailClusterId | Long | Bezeichner des E-Mail-Clusters. E-Mails werden aufgrund einer heuristischen Analyse ihrer Inhalte zusammengefasst. |
| EmailDirection | Zeichenfolge | E-Mail-Richtung: Eingehend, ausgehend, organisationsintern. |
| E-Mail-Sprache | Zeichenfolge | Die Sprache des E-Mail-Inhalts wurde erkannt. |
| E-MailSize | INT | Größe der E-Mail-Nachricht. |
| ExchangeTransportRule | Zeichenfolge | Nachrichtenflussregeln (auch als Transportregeln bezeichnet) ähneln Posteingangsregeln, die in Outlook und Outlook im Web verfügbar sind. Der Hauptunterschied besteht darin, dass Mailflussregeln Maßnahmen bei Nachrichten ergreifen, während sie sich im Transit befinden. |
| Weiterleitungsinformationen | Zeichenfolge | Ein JSON-Array von Weiterleitungsdetails, einschließlich des Weiterleitungsbenutzers und des Weiterleitungstyps |
| InternetMessageId | Zeichenfolge | Öffentlich zugänglicher Bezeichner für die E-Mail, die vom sendenden E-Mail-System festgelegt wird. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt |
| IsFirstContact | Boolesch | Ist dies der erste Kontakt zwischen Absender und Empfänger. |
| NeuesteLieferaktion | Zeichenfolge | Letzte bekannte Aktion, die von einem Dienst oder der Administration durch manuelle Behebung an einer E-Mail versucht wurde. |
| Letzter Lieferort | Zeichenfolge | Letzter bekannter Speicherort der E-Mail. |
| NetworkMessageId | Zeichenfolge | Eindeutiger Bezeichner für die E-Mail, die von Office 365 generiert wird. |
| Organisationsebenaktion | Zeichenfolge | Aktion, die auf der E-Mail als Reaktion auf Übereinstimmungen mit einer auf organisationsebene definierten Richtlinie ausgeführt wird. |
| OrgLevelPolicy | Zeichenfolge | Organisationsrichtlinie, die die Aktion ausgelöst hat, durch die Maßnahmen an der E-Mail ergriffen wurden. |
| RecipientDomain | Zeichenfolge | Domäne des Empfängers der E-Mail. |
| Empfänger-E-Mail-Adresse | Zeichenfolge | Empfänger-E-Mail-Adresse oder E-Mail-Adresse des Empfängers nach der Erweiterung der Verteilerliste. |
| RecipientObjectId | Zeichenfolge | Azure AD-Id des E-Mail-Empfängers. |
| ReportId | Zeichenfolge | Eindeutiger Bezeichner für das Ereignis. |
| SenderAnzeigename | Zeichenfolge | Absender-E-Mail-Adresse in der Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
| SenderFromAddress | Zeichenfolge | Absenderdomäne in der Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
| SenderFromDomain | Zeichenfolge | Urteil aus dem System der E-Mail-Filterung, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält. |
| SenderIPv4 | Zeichenfolge | IPv4-Adresse des zuletzt erkannten E-Mail-Servers, der die Nachricht weitergeleitet hat. |
| SenderIPv6 | Zeichenfolge | IPv6-Adresse des zuletzt erkannten E-Mail-Servers, der die Nachricht weitergeleitet hat. |
| SenderMailFromAddress | Zeichenfolge | Absender-E-Mail-Adresse im FROM-Header der E-Mail, auch als Umschlagabsender oder Rückgabepfadadresse bezeichnet. |
| SenderMailFromDomain | Zeichenfolge | Absenderdomäne im FROM-Header der MAIL, auch als Umschlagabsender oder Rückgabepfadadresse bezeichnet. |
| AbsenderObjektId | Zeichenfolge | Absender-E-Mail-Adresse in der Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, durch den das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Betreff | Zeichenfolge | Feld "E-Mail-Betreff". |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungsklassifizierung | Zeichenfolge | Gibt die Bedrohungsklassifizierung der E-Mail an. |
| Bedrohungsnamen | Zeichenfolge | Absender-E-Mail-Adresse in der Kopfzeile, die für E-Mail-Empfänger auf ihren E-Mail-Clients sichtbar ist. |
| Bedrohungsarten | Zeichenfolge | Urteil aus dem System der E-Mail-Filterung, ob die E-Mail Schadsoftware, Phishing oder andere Bedrohungen enthält. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Datum und Uhrzeit (UTC), wann der Datensatz generiert wurde. |
| Bis | dynamisch | Gibt die Adressen an, die in den Feldern "An" einer E-Mail aufgeführt sind. |
| Typ | Zeichenfolge | Der Name der Tabelle. |
| URL-Zähler | INT | Anzahl der eingebetteten URLs in der E-Mail. |
| BenutzerebeneAktion | Zeichenfolge | Aktion, die für die E-Mail als Reaktion auf Übereinstimmungen mit einer vom Empfänger definierten Postfachrichtlinie ausgeführt wird. |
| Benutzerebenenrichtlinie | Zeichenfolge | Postfachrichtlinie für Endbenutzer, die die für die E-Mail ausgeführte Aktion ausgelöst hat. |