To improve visibility and alignment across Microsoft Defender for Office 365 and Microsoft Sentinel, we’re updating how email verdict and location changes are handled in the EmailEvents table. This change ensures that Sentinel reflects both current and historical verdicts, enabling more accurate threat analysis and investigation.

[When this will happen:]

General Availability: Rollout begins in early October 2025 and is expected to complete by early November 2025.

[How this affects your organization:]

• Who is affected: Admins using Microsoft Defender for Office 365, Streaming API, and the EmailEvents table in Microsoft Sentinel.
• What will happen:
  

  • The Streaming API will begin streaming updated records when an email’s verdict or location changes.
  • Microsoft Sentinel will store both the updated and previous records, rather than replacing them.
  • You may see multiple rows for the same email if its verdict or location is updated.
  • This update aligns the EmailEvents table in Microsoft Sentinel with the behavior of the Advanced Hunting EmailEvents table.

[What you can do to prepare:]

• Review and update existing queries and dashboards that rely on the EmailEvents table.
• Use the following KQL pattern to retrieve the latest record per email:

summarize arg_max(Timestamp, *) by NetworkMessageId, RecipientEmailAddress

Example query for emails with a “Phish” verdict:

EmailEvents
| where ThreatTypes has "Phish"
| summarize arg_max(Timestamp, *) by NetworkMessageId, RecipientEmailAddress

Learn more about the arg_max function: KQL arg_max documentation

[Compliance considerations:]

No compliance considerations identified, review as appropriate for your organization.

Microsoft Defender for Office 365とMicrosoft Sentinel全体の可視性と整合性を向上させるために、 EmailEvents テーブルでの電子メールの判定と場所の変更の処理方法を更新しています。この変更により、Sentinel は現在と過去の両方の評定を反映し、より正確な脅威分析と調査が可能になります。

[これがいつ起こるか:]

一般提供 :ロールアウトは 2025 年 10 月初旬 に開始され、 2025 年 11 月初旬までに完了する予定です。

[これがあなたの組織に与える影響:]

• 影響を受ける人:Microsoft Defender for Office 365、ストリーミング API、Microsoft Sentinel の EmailEvents テーブルを使用する管理者。
• 何が起こるか:
  

  • ストリーミング API は、メールの判定または場所が変更されると、更新されたレコードのストリーミングを開始します。
  • Microsoft Sentinel は、更新されたレコードと以前のレコードの両方を置き換えるのではなく、保存します。
  • 同じメールの判定や場所が更新されると、複数の行が表示されることがあります。
  • この更新プログラムにより、Microsoft Sentinel の EmailEvents テーブルが Advanced Hunting EmailEvents テーブルの動作に合わせられます。

[準備するためにできること:]

• EmailEvents テーブルに依存する既存のクエリとダッシュボードを確認して更新します。
• 次の KQL パターンを使用して、電子メールごとに最新のレコードを取得します。

arg_max(Timestamp, *) を NetworkMessageId、RecipientEmailAddress で集計する

“Phish” 判定の電子メールのクエリの例:

EmailEvents
| ThreatTypes に "Phish" があります
| NetworkMessageId、RecipientEmailAddress による arg_max(Timestamp, *) を summarize

arg_max 関数の詳細については、KQL arg_max ドキュメントを参照してください。

[コンプライアンスに関する考慮事項:]

コンプライアンスに関する考慮事項が特定されていない場合は、組織に応じて確認します。