Microsoft 365 Exchange DKIM 签名配置已禁用

Microsoft 365 Exchange DKIM 签名配置已禁用编辑

识别 Microsoft 365 中何时禁用了域名密钥识别邮件 (DKIM) 签名配置。使用 Microsoft 365 中的 DKIM，从 Exchange Online 发送的消息将进行加密签名。这将允许接收电子邮件系统验证消息是否由组织授权的服务器生成，而不是伪造的。

规则类型: 查询

规则索引:

filebeat-*
logs-o365*

严重性: 中

风险评分: 47

运行频率: 5分钟

搜索的索引范围: now-30m（日期数学格式，另请参阅 额外回溯时间）

每次执行的最大警报数: 100

参考:

https://docs.microsoft.com/en-us/powershell/module/exchange/set-dkimsigningconfig?view=exchange-ps

标签:

域: 云
数据源: Microsoft 365
战术: 持久化

版本: 206

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 Office 365 日志队列集成、Filebeat 模块或类似结构的数据。

规则查询编辑

event.dataset:o365.audit and event.provider:Exchange and event.category:web and event.action:"Set-DkimSigningConfig" and o365.audit.Parameters.Enabled:False and event.outcome:success

框架: MITRE ATT&CK^TM

战术
- 名称: 持久化
- ID: TA0003
- 参考 URL: https://attack.mitre.org/tactics/TA0003/
技术
- 名称: 修改身份验证过程
- ID: T1556
- 参考 URL: https://attack.mitre.org/techniques/T1556/

« Microsoft 365 Exchange 反钓鱼规则修改 Microsoft 365 Exchange DLP 策略已删除 »