고급 헌팅 스키마의 테이블에는 EmailEvents Office 365용 Microsoft Defender 전자 메일 처리와 관련된 이벤트에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.
이 고급 헌팅 테이블은 Office 365용 Defender 레코드로 채워집니다. organization Microsoft Defender XDR 서비스를 배포하지 않은 경우 테이블을 사용하는 쿼리가 작동하지 않거나 결과를 반환하지 않습니다. Defender XDR Office 365용 Defender 배포하는 방법에 대한 자세한 내용은 지원되는 서비스 배포를 참조하세요.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
NetworkMessageId |
string |
Microsoft 365에서 생성된 전자 메일의 고유 식별자 |
InternetMessageId |
string |
보내는 전자 메일 시스템에서 설정한 전자 메일의 공개 식별자 |
SenderMailFromAddress |
string |
보낸 사람 머리글의 보낸 사람 전자 메일 주소(봉투의 보낸 사람 또는 반송 경로 주소라고도 함) |
SenderFromAddress |
string |
전자 메일 클라이언트의 전자 메일 수신자에게 표시되는 FROM 머리글의 발신자 전자 메일 주소 |
SenderDisplayName |
string |
주소록에 표시되는 보낸 사람의 이름( 일반적으로 지정된 이름 또는 이름, 중간 이니셜, 성 또는 성의 조합) |
SenderObjectId |
string |
Microsoft Entra ID 보낸 사람의 계정에 대한 고유 식별자 |
SenderMailFromDomain |
string |
보낸 사람 머리글의 보낸 사람 도메인(봉투의 보낸 사람 또는 반송 경로 주소라고도 함) |
SenderFromDomain |
string |
전자 메일 클라이언트의 전자 메일 수신자에게 표시되는 FROM 머리글의 발신자 도메인 |
SenderIPv4 |
string |
메시지를 전달한 마지막 검색 메일 서버의 IPv4 주소 |
SenderIPv6 |
string |
메시지를 전달한 마지막 검색 메일 서버의 IPv6 주소 |
RecipientEmailAddress |
string |
받는 사람의 전자 메일 주소 또는 메일 그룹 확장 후 받는 사람의 전자 메일 주소 |
RecipientObjectId |
string |
Microsoft Entra ID 전자 메일 받는 사람에 대한 고유 식별자 |
Subject |
string |
전자 메일 제목 |
EmailClusterId |
long |
콘텐츠의 휴리스틱 분석을 기반으로 클러스터된 비슷한 전자 메일 그룹의 식별자 |
EmailDirection |
string |
네트워크를 기준으로 하는 전자 메일의 방향: 인바운드, 아웃바운드, 조직 내 |
DeliveryAction |
string |
전자 메일 전송 작업: 전달됨, 정크 메일함으로 전송됨, 차단됨 또는 대체됨 |
DeliveryLocation |
string |
전자 메일이 전송된 위치: 받은 편지함/폴더, 온-프레미스/외부, 정크, 격리, 실패, 중단, 삭제된 항목 |
ThreatTypes |
string |
전자 메일에 맬웨어, 피싱 또는 기타 위협이 포함되어 있는지 여부에 대한 이메일 필터링 스택의 평결 |
ThreatNames |
string |
발견된 맬웨어 또는 기타 위협에 대한 검색 이름 |
DetectionMethods |
string |
전자 메일에 있는 맬웨어, 피싱 또는 기타 위협을 검색하는 데 사용되는 방법 |
ConfidenceLevel |
string |
스팸 또는 피싱 평결의 신뢰도 수준 목록입니다. 스팸의 경우 이 열은 전자 메일을 건너뛰거나(-1), 스팸이 아닌 것으로 확인됨(0,1), 보통 신뢰도(5,6)를 가진 스팸으로 확인되거나(9) 높은 신뢰도를 가진 스팸으로 확인되었는지를 나타내는 SCL(스팸 신뢰도 수준)을 표시합니다. 피싱의 경우 이 열은 신뢰도가 "높음" 또는 "낮음"인지 여부를 표시합니다. |
BulkComplaintLevel |
int |
대량 메일러의 전자 메일에 할당된 임계값, 높은 대량 불만 수준(BCL)은 이메일이 불만을 생성할 가능성이 높으므로 스팸일 가능성이 더 높다는 것을 의미합니다. |
EmailAction |
string |
필터 평결, 정책 및 사용자 작업에 따라 전자 메일에서 수행된 최종 작업: 정크 메일 폴더로 메시지 이동, X 헤더 추가, 제목 수정, 메시지 리디렉션, 메시지 삭제, 격리로 보내기, 수행된 작업 없음, 숨은 참조 메시지 |
EmailActionPolicy |
string |
적용된 작업 정책: 스팸 방지 높은 신뢰감, 스팸 방지, 스팸 방지 대량 메일, 스팸 방지 피싱, 피싱 방지 도메인 가장, 피싱 방지 사용자 가장, 피싱 방지 스푸핑, 피싱 방지 그래프 가장, 멜웨어 방지, 안전 첨부 파일, 엔터프라이즈 전송 규칙(ETR) |
EmailActionPolicyGuid |
string |
마지막 메일 작업을 결정한 정책의 고유 식별자 |
AuthenticationDetails |
string |
DMARC, DKIM, SPF 또는 여러 인증 유형 조합(CompAuth)과 같은 이메일 인증 프로토콜별 통과 또는 실패 평결 목록 |
AttachmentCount |
int |
전자 메일의 첨부 파일 수 |
UrlCount |
int |
전자 메일에 포함된 URL의 수 |
EmailLanguage |
string |
검색된 전자 메일 콘텐츠의 언어 |
Connectors |
string |
조직 메일 흐름 및 전자 메일 라우팅 방법을 정의하는 사용자 지정 지침 |
OrgLevelAction |
string |
조직 수준에서 정의된 정책과 일치하는 항목에 대한 응답으로 전자 메일에 대해 수행된 작업 |
OrgLevelPolicy |
string |
전자 메일에서 수행된 작업을 트리거한 조직 정책 |
UserLevelAction |
string |
받는 사람이 정의한 사서함 정책과 일치하는 항목에 대한 응답으로 전자 메일에 대해 수행된 작업 |
UserLevelPolicy |
string |
전자 메일에서 수행된 작업을 트리거한 최종 사용자 사서함 정책 |
ReportId |
string |
반복 카운터를 기반으로 하는 이벤트 식별자입니다. 고유한 이벤트를 식별하려면 이 열을 DeviceName 및 Timestamp 열과 함께 사용해야 합니다. |
AdditionalFields |
string |
엔터티 또는 이벤트에 대한 추가 정보 |
LatestDeliveryLocation* |
string |
전자 메일의 마지막으로 알려진 위치 |
LatestDeliveryAction* |
string |
수동 수정을 통해 서비스 또는 관리자가 전자 메일에서 마지막으로 시도한 작업 |
참고
* 및 LatestDeliveryAction 열은 LatestDeliveryLocation 스트리밍 API에서 사용할 수 없습니다.
관련 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.