# AN0460 — Analytic 0460 ## Descrição Detecta cadeia de reconhecimento de política de senha SaaS: sessão de admin ou PowerShell remoto lendo configurações de senha/autenticação do tenant (como cmdlets M365 `Get-MsolPasswordPolicy`/`Get-OrganizationConfig`) seguida pelo mesmo principal realizando mudanças em caixa de correio ou configurações do tenant. A telemetria necessária inclui Microsoft 365 Unified Audit Log (UAL) para rastrear cmdlets de leitura de política de autenticação correlacionados com operações de modificação de configuração no mesmo contexto de sessão. Essa detecção é relevante para ambientes M365, onde a leitura de política pode preceder a criação de regras de encaminhamento de e-mail, modificação de permissões de caixa de correio ou desabilitação de MFA para contas específicas. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0460](https://attack.mitre.org/detectionstrategies/DET0161#AN0460)*