« Microsoft 365 Exchange DLP 策略已删除 Microsoft 365 Exchange 恶意软件筛选器规则修改 »
Elastic 文档 Elastic 安全解决方案 [8.17] 检测和警报 预构建规则参考

Microsoft 365 Exchange 恶意软件筛选器策略删除

编辑

Microsoft 365 Exchange 恶意软件筛选器策略删除

编辑

识别 Microsoft 365 中恶意软件筛选器策略被删除的时间。恶意软件筛选器策略用于提醒管理员内部用户发送了一条包含恶意软件的消息。这可能表明需要调查的帐户或机器遭到入侵。删除恶意软件筛选器策略可能是为了逃避检测。

规则类型:查询

规则索引:

  • filebeat-*
  • logs-o365*

严重性:中

风险评分: 47

运行频率:5 分钟

搜索索引起始时间:now-30m(日期数学格式,另请参阅 额外回溯时间

每次执行的最大警报数: 100

参考资料:

标签:

  • 域:云
  • 数据源:Microsoft 365
  • 用例:配置审计
  • 战术:防御规避

版本: 206

规则作者:

  • Elastic

规则许可证:Elastic License v2

调查指南

编辑

设置

编辑

此规则需要 Office 365 Logs Fleet 集成、Filebeat 模块或类似结构的数据才能兼容。

规则查询

编辑
event.dataset:o365.audit and event.provider:Exchange and event.category:web and event.action:"Remove-MalwareFilterPolicy" and event.outcome:success

框架:MITRE ATT&CKTM

« Microsoft 365 Exchange DLP 策略已删除 Microsoft 365 Exchange 恶意软件筛选器规则修改 »