此表按Microsoft Defender for Office 365显示有关消息的信息。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
- |
Columns
| 列 |
类型 |
说明 |
| Action |
字符串 |
对邮件执行的操作:已阻止,已移至隔离区 |
| ActionResult |
字符串 |
操作的结果 |
| ActionTrigger |
字符串 |
指示操作是由管理员手动 (触发的,还是通过批准挂起的自动操作) 触发的,还是由某些特殊机制(如 ZAP 或动态交付)触发的 |
| 操作类型 |
字符串 |
触发事件的活动类型:手动修正、网络钓鱼 ZAP、恶意软件 ZAP |
| _BilledSize |
real |
记录大小(字节) |
| ConfidenceLevel |
dynamic |
标识的每种威胁类型的置信度列表 |
| DetectionMethods |
字符串 |
用于检测邮件中发现的恶意软件、网络钓鱼或其他威胁的方法 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsExternalThread |
布尔 |
指示线程中有外部收件人 (1) ,还是没有外部收件人 (0) |
| LatestDeliveryLocation |
字符串 |
邮件的最后已知位置 |
| RecipientDetails |
dynamic |
收件人数据数组 (RecipientSmtpAddress、RecipientDisplayName、RecipientType、RecipientObjectId) |
| ReportId |
字符串 |
事件的唯一标识符 |
| SafetyTip |
字符串 |
在邮件上添加的安全提示(如果有) |
| SenderEmailAddress |
字符串 |
发件人Email地址 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| TeamsMessageId |
字符串 |
消息的唯一标识符,由 Microsoft 365 生成 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| ThreatTypes |
字符串 |
筛选堆栈中关于邮件是否包含恶意软件、网络钓鱼或其他威胁的判断 |
| TimeGenerated |
日期/时间 |
生成记录时的日期和时间 (UTC)。 |
| 类型 |
字符串 |
表的名称 |