O365 邮箱审计日志绕过

检测邮箱审计绕过关联的发生。邮箱审计负责记录指定的邮箱事件（如访问文件夹或消息，或永久删除消息）。但是，某些授权帐户（如第三方工具使用的帐户或用于合法监控的帐户）执行的操作可能会创建大量的邮箱审计日志条目，您的组织可能对此不感兴趣。因此，管理员可以创建绕过关联，允许某些帐户在不被记录的情况下执行其任务。攻击者可以滥用此允许列表机制来隐藏其采取的操作，因为邮箱审计将不会记录该帐户执行的任何活动。

规则类型: 查询

规则索引:

filebeat-*
logs-o365*

严重性: 中

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-30m (日期数学格式，另请参阅 额外的回溯时间)

每次执行的最大告警数: 100

参考:

https://twitter.com/misconfig/status/1476144066807140355

标签:

领域：云
数据源：Microsoft 365
战术：初始访问
战术：防御规避

版本: 206

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

设置

编辑

需要 Office 365 Logs Fleet 集成、Filebeat 模块或类似结构的数据才能与此规则兼容。

规则查询

编辑

event.dataset:o365.audit and event.provider:Exchange and event.action:Set-MailboxAuditBypassAssociation and event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称：防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
技术
- 名称：损害防御
- ID: T1562
- 参考 URL: https://attack.mitre.org/techniques/T1562/
子技术
- 名称：禁用或修改工具
- ID: T1562.001
- 参考 URL: https://attack.mitre.org/techniques/T1562/001/

« O365 Exchange 可疑邮箱权限委派 Office 测试注册表持久性 »