分配了 Microsoft 365 全局管理员角色

在 Azure Active Directory (Azure AD) 中，使用角色分配管理资源的权限。全局管理员是一种角色，使用户能够访问 Azure AD 中的所有管理功能以及使用 Azure AD 标识的服务，例如 Microsoft 365 Defender 门户、Microsoft 365 合规性中心、Exchange、SharePoint Online 和 Skype for Business Online。攻击者可以添加用户作为全局管理员，以维护对所有订阅及其设置和资源的访问和管理。

规则类型：查询

规则索引:

严重程度：中等

风险评分: 47

运行间隔：5 分钟

搜索的索引范围：now-25m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

版本: 206

规则作者:

规则许可证：Elastic 许可证 v2

event.dataset:o365.audit and event.code:"AzureActiveDirectory" and event.action:"Add member to role." and
o365.audit.ModifiedProperties.Role_DisplayName.NewValue:"Global Administrator"