潜在的 Microsoft 365 用户帐户密码喷射
编辑潜在的 Microsoft 365 用户帐户密码喷射编辑
在 30 分钟内从单个 IP 地址识别出大量(25 个)失败的 Microsoft 365 用户身份验证尝试,这可能表明存在密码喷射攻击。攻击者可能会尝试进行密码喷射攻击以获得对用户帐户的未经授权的访问权限。
规则类型: 阈值
规则索引:
- filebeat-*
- logs-o365*
严重性: 高
风险评分: 73
每: 5m 运行一次
从: now-30m 搜索索引 (日期数学格式,另请参见 额外回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 域: 云
- 数据源: Microsoft 365
- 用例: 身份和访问审计
- 战术: 凭据访问
版本: 207
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南编辑
设置编辑
Office 365 Logs Fleet 集成、Filebeat 模块或类似结构化数据需要与该规则兼容。
规则查询编辑
event.dataset:o365.audit and event.provider:(Exchange or AzureActiveDirectory) and event.category:authentication and
event.action:("UserLoginFailed" or "PasswordLogonInitialAuthUsingPassword")
框架: MITRE ATT&CKTM
-
战术
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 暴力破解
- ID: T1110
- 参考 URL: https://attack.mitre.org/techniques/T1110/