用户报告为恶意软件或网络钓鱼的 O365 邮件

编辑

用户报告为恶意软件或网络钓鱼的 O365 邮件

编辑

检测用户报告为网络钓鱼或恶意软件的邮件事件。安全意识培训对于领先于诈骗者和威胁参与者至关重要，因为安全产品可能会被绕过，用户仍然可能收到恶意消息。教育用户报告可疑邮件有助于识别安全控制中的差距，并防止恶意软件感染和商业电子邮件泄露攻击。

规则类型: 查询

规则索引:

filebeat-*
logs-o365*

严重程度: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-30m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考:

https://support.microsoft.com/en-us/office/use-the-report-message-add-in-b5caa9f1-cdf3-4443-af8c-ff724ea719d2?ui=en-us&rs=en-us&ad=us

标签:

域：云
数据源：Microsoft 365
策略：初始访问

版本: 206

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Office 365 日志 Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:o365.audit and event.provider:SecurityComplianceCenter and event.action:AlertTriggered and rule.name:"Email reported by user as malware or phish"

框架: MITRE ATT&CK^TM

策略
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：网络钓鱼
- ID：T1566
- 参考 URL：https://attack.mitre.org/techniques/T1566/
子技术
- 名称：鱼叉式网络钓鱼附件
- ID：T1566.001
- 参考 URL：https://attack.mitre.org/techniques/T1566/001/
子技术
- 名称：鱼叉式网络钓鱼链接
- ID：T1566.002
- 参考 URL：https://attack.mitre.org/techniques/T1566/002/

« NullSessionPipe 注册表修改 O365 过多的单点登录错误 »