Microsoft 365 不可能旅行活动

编辑

Microsoft 365 不可能旅行活动编辑

当 Microsoft 云应用安全报告由于与不可能旅行相关的登录而导致存在风险的登录尝试时，识别该登录。

规则类型：查询

规则索引:

filebeat-*
logs-o365*

严重程度：中等

风险评分: 47

运行频率：5 分钟

搜索索引的时间范围：now-30m （日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：云
数据源：Microsoft 365
用例：配置审计
战术：初始访问

版本: 1

规则作者:

Austin Songer

规则许可证：Elastic 许可证 v2

调查指南编辑

设置编辑

要与此规则兼容，需要 Office 365 日志 Fleet 集成、Filebeat 模块或结构类似的数据。

规则查询编辑

event.dataset:o365.audit and event.provider:SecurityComplianceCenter and event.category:web and event.action:"Impossible travel activity" and event.outcome:success

框架：MITRE ATT&CK^TM

战术
- 名称：初始访问
- ID：TA0001
- 参考 URL：https://attack.mitre.org/tactics/TA0001/
技术
- 名称：有效帐户
- ID：T1078
- 参考 URL：https://attack.mitre.org/techniques/T1078/

« Microsoft 365 全局管理员角色分配 Microsoft 365 收件箱转发规则创建 »