已弃用 - 潜在的 Microsoft 365 用户帐户密码喷洒

识别在 30 分钟内来自单个 IP 地址的大量（25 次）失败的 Microsoft 365 用户身份验证尝试，这可能是密码喷洒攻击的迹象。攻击者可能会尝试进行密码喷洒攻击以获取对用户帐户的未经授权的访问。

规则类型: 阈值

规则索引:

严重性: 高

风险评分: 73

每隔: 5m

搜索索引自: now-30m (日期数学格式，另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

版本: 208

规则作者:

规则许可证: Elastic License v2

event.dataset:o365.audit and event.provider:(Exchange or AzureActiveDirectory) and event.category:authentication and
event.action:("UserLoginFailed" or "PasswordLogonInitialAuthUsingPassword")