# AN0086 — Analytic 0086 ## Descrição Detecta a execução de formulários Outlook acionados pelo recebimento de mensagem ou inicialização do cliente, resultando em execução automatizada de código na sessão do usuário. A telemetria inclui logs de auditoria do Office 365 (MailItemsAccessed, FormDefinitionLoaded), registros de processo do Sysmon para identificar invocações de objetos COM, e análise de definições de formulários que contêm lógica de script ou chamadas a objetos COM em campos do formulário. A importância deste analítico reside na detecção de formulários desviados dos templates padrão que incluem lógica maliciosa embarcada, técnica utilizada por grupos como APT28. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0086](https://attack.mitre.org/detectionstrategies/DET0029#AN0086)*