我希望能够根据某些自定义逻辑来隔离电子邮件。例如 Azure Sentinel 或 KQL 中的警报。
我认为的示例解决方案是: 一旦发生事件,电子邮件实体将被获取,然后电子邮件将被隔离。 (我们将从电子邮件事件日志中获取网络消息ID)
但是,我正在努力弄清楚使用什么逻辑应用程序模块来隔离?
如果电子邮件包含恶意内容,您可以将其作为威胁提交。这比将其移至隔离区更好,因为这样微软就可以更新其过滤器或机器学习算法
https://learn.microsoft.com/en-us/graph/api/resources/security-emailthreatsubmission?view=graph-rest-beta