Um die Transparenz und Abstimmung zwischen Microsoft Defender for Office 365 und Microsoft Sentinel zu verbessern, aktualisieren wir die Handhabung von E-Mail-Entscheidungen und Standortänderungen in der EmailEvents-Tabelle. Diese Änderung stellt sicher, dass Sentinel sowohl aktuelle als auch historische Entscheidungen widerspiegelt und so eine genauere Bedrohungsanalyse und Untersuchung ermöglicht.
[Wann dies geschieht:]Allgemeine Verfügbarkeit: Die Einführung beginnt im Anfang Oktober 2025 und soll bis Anfang November 2025 abgeschlossen sein.
[Wie sich dies auf Ihre Organisation auswirkt:]- Wer ist betroffen: Administratoren, die Microsoft Defender for Office 365, die Streaming API und die EmailEvents-Tabelle in Microsoft Sentinel verwenden.
- Was passiert:
- Die Streaming API wird mit Beginn Änderungen an Datensätzen streamen, wenn sich das Urteil oder der Standort einer E-Mail ändert.
- Microsoft Sentinel speichert sowohl die aktualisierten als auch die vorherigen Datensätze, anstatt sie zu ersetzen.
- Es können mehrere Zeilen für dieselbe E-Mail angezeigt werden, wenn deren Urteil oder Standort aktualisiert wird.
- Dieses Update bringt die EmailEvents-Tabelle in Microsoft Sentinel in Einklang mit dem Verhalten der Advanced Hunting EmailEvents-Tabelle.
- Überprüfen und aktualisieren Sie bestehende Abfragen und Dashboards, die auf der EmailEvents-Tabelle basieren.
- Verwenden Sie folgendes KQL-Muster, um je E-Mail den neuesten Datensatz abzurufen:
summarize arg_max(Timestamp, *) by NetworkMessageId, RecipientEmailAddress
Beispielabfrage für E-Mails mit dem Urteil "Phish":
EmailEvents| where ThreatTypes has "Phish"| summarize arg_max(Timestamp, *) by NetworkMessageId, RecipientEmailAddress
Weitere Informationen zur arg_max-Funktion: KQL arg_max Dokumentation
[Compliance-Aspekte:]
Es wurden keine Compliance-Aspekte identifiziert, prüfen Sie dies jedoch entsprechend den Anforderungen Ihrer Organisation.