# AN0264 — Analytic 0264 ## Descrição Esta analítica detecta a adição de uma nova regra do Outlook com atributos modificados ou ofuscados como `PR_RULE_MSG_NAME` e `PR_RULE_MSG_PROVIDER` usando MFCMapi ou Ruler, onde a regra aciona execução de código externo ou embutido quando um e-mail chega. A telemetria utilizada inclui logs de auditoria de caixa postal do Exchange/M365, Unified Audit Log mostrando ações automatizadas de regra sem interação do usuário, e eventos de criação de processos. A detecção é importante pois este padrão de ataque é frequentemente utilizado para manter acesso persistente e furtivo em ambientes Microsoft 365 corporativos. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1137-005-outlook-rules|T1137.005 — Outlook Rules]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0264](https://attack.mitre.org/detectionstrategies/DET0095#AN0264)*