# AN0132 — Analytic 0132 ## Descrição Monitora acesso programático a caixas de correio de usuários em sistemas de e-mail baseados em nuvem (O365, Exchange Online) usando APIs ou tokens OAuth, com foco em uso indevido de OAuth, padrões suspeitos de MailItemsAccessed, pesquisas por palavras-chave via script, e conexões de agentes ou localizações não confiáveis. A telemetria inclui logs de auditoria do Microsoft 365 (MailItemsAccessed, SearchQueryInitiatedExchange), análise de tokens OAuth para identificar escopos excessivos, e alertas de anomalia de comportamento do Microsoft Sentinel. Este analítico é essencial para detectar exfiltração de e-mail via Graph API, técnica crescentemente utilizada por grupos de ameaça persistente avançada para coletar inteligência corporativa sem acesso direto ao cliente de e-mail. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0132](https://attack.mitre.org/detectionstrategies/DET0048#AN0132)*