# AN0131 — Analytic 0131 ## Descrição Detecta adversários acessando sistemas de e-mail remotos como Exchange Online ou O365 usando credenciais roubadas ou tokens OAuth, seguidos de acesso por script a conteúdos de caixa de entrada via PowerShell, AADInternals ou consultas de API não assistidas. A telemetria inclui logs de auditoria do Microsoft 365 (MailItemsAccessed, New-MailboxExportRequest), análise de agente de usuário e localização IP para identificar sessões de logon anômalas, e correlação com acesso a e-mail por ferramentas de linha de comando ou automatizadas. Este analítico é crítico para detectar campanhas de BEC (Business Email Compromise) e espionagem que exploram credenciais comprometidas para acesso silencioso a caixas de e-mail corporativas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0131](https://attack.mitre.org/detectionstrategies/DET0048#AN0131)*