# AN0309 — Analytic 0309 ## Descrição Esta analítica correlaciona eventos de mensagens em ferramentas de e-mail e colaboração (Outlook, Teams) que contêm padrões regex semelhantes a credenciais, chaves de API ou tokens, sinalizando atividade anômala de encaminhamento ou cópia em massa de conteúdo de chat/e-mail contendo segredos. A telemetria é obtida via Unified Audit Log do Microsoft 365, logs de conformidade do Purview e DLP (Data Loss Prevention) para detecção de padrões de credenciais em mensagens. A detecção é crítica pois o compartilhamento inadvertido ou intencional de credenciais em ferramentas de colaboração corporativa é um dos principais vetores de comprometimento em ambientes Microsoft 365, especialmente em campanhas de BEC (Business Email Compromise). **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0309](https://attack.mitre.org/detectionstrategies/DET0111#AN0309)*