# AN0338 — Analytic 0338 ## Descrição Detecta entradas no UnifiedAuditLog do Microsoft 365 para operações `Remove-Mailbox` ou `Set-Mailbox` com ações de desativação ou exclusão de conta, correlacionadas com locais de login suspeitos ou bypass de MFA. A telemetria inclui logs de auditoria unificada do Microsoft 365, registros de acesso ao Exchange Online e alertas de autenticação anômala. Essa analítica é importante para identificar ataques de Business Email Compromise (BEC) e operações de ransomware que visam destruir caixas postais corporativas ou encobrir rastros de acesso não autorizado. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0338](https://attack.mitre.org/detectionstrategies/DET0120#AN0338)*