# AN0019 — Analytic 0019 ## Descrição Detecta login em M365 ou Google Workspace a partir de ferramentas CLI ou endereços IP de origem inesperados, seguido de acesso a caixas de e-mail ou documentos, indicando possível comprometimento de credenciais corporativas de produtividade. A telemetria inclui logs de auditoria unificados do Microsoft 365 (UAL), logs de atividade do Google Workspace e correlação entre eventos de autenticação e operações de acesso a dados. Esse analítico é relevante pois suítes de produtividade corporativas são alvos frequentes de campanhas de Business Email Compromise (BEC) e espionagem corporativa. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0019](https://attack.mitre.org/detectionstrategies/DET0008#AN0019)*