Microsoft 365 Exchange DKIM 签名配置已禁用

识别 Microsoft 365 中何时禁用域名密钥识别邮件 (DKIM) 签名配置。在 Microsoft 365 中使用 DKIM，从 Exchange Online 发送的消息将被加密签名。这将允许接收电子邮件系统验证消息是否由组织授权的服务器生成，而不是伪造的。

规则类型: 查询

规则索引:

filebeat-*
logs-o365*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索索引起始时间: now-30m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考:

https://docs.microsoft.com/zh-cn/powershell/module/exchange/set-dkimsigningconfig?view=exchange-ps

标签:

域: 云
数据源: Microsoft 365
战术: 持久化

版本: 206

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Office 365 Logs Fleet 集成、Filebeat 模块或类似结构化数据才能与此规则兼容。

规则查询

编辑

event.dataset:o365.audit and event.provider:Exchange and event.category:web and event.action:"Set-DkimSigningConfig" and o365.audit.Parameters.Enabled:False and event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 修改身份验证过程
- ID: T1556
- 参考 URL: https://attack.mitre.org/techniques/T1556/

« Microsoft 365 Exchange 反钓鱼规则修改 Microsoft 365 Exchange DLP 策略已删除 »