用户举报为恶意软件或网络钓鱼的 O365 电子邮件

检测用户举报为网络钓鱼或恶意软件的电子邮件的发生。安全意识培训对于领先于诈骗者和威胁行为者至关重要，因为安全产品可能会被绕过，并且用户仍然可能收到恶意消息。教育用户报告可疑消息有助于识别安全控制中的漏洞，并防止恶意软件感染和商业电子邮件入侵攻击。

规则类型: 查询

规则索引:

filebeat-*
logs-o365*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引的时间范围: now-30m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大警报数: 100

参考:

https://support.microsoft.com/en-us/office/use-the-report-message-add-in-b5caa9f1-cdf3-4443-af8c-ff724ea719d2?ui=en-us&rs=en-us&ad=us

标签:

域: 云
数据源: Microsoft 365
策略: 初始访问

版本: 206

规则作者:

Elastic

规则许可: Elastic License v2

调查指南

编辑

设置

编辑

此规则需要 Office 365 Logs Fleet 集成、Filebeat 模块或类似结构的兼容数据。

规则查询

编辑

event.dataset:o365.audit and event.provider:SecurityComplianceCenter and event.action:AlertTriggered and rule.name:"Email reported by user as malware or phish"

框架: MITRE ATT&CK^TM

策略
- 名称: 初始访问
- ID: TA0001
- 参考 URL: https://attack.mitre.org/tactics/TA0001/
技术
- 名称: 网络钓鱼
- ID: T1566
- 参考 URL: https://attack.mitre.org/techniques/T1566/
子技术
- 名称: 鱼叉式网络钓鱼附件
- ID: T1566.001
- 参考 URL: https://attack.mitre.org/techniques/T1566/001/
子技术
- 名称: 鱼叉式网络钓鱼链接
- ID: T1566.002
- 参考 URL: https://attack.mitre.org/techniques/T1566/002/

« NullSessionPipe 注册表修改 O365 过多的单点登录错误 »