# AN0525 — Analytic 0525 ## Descrição Este analítico detecta deleção ou ocultação de regras de email relacionadas à segurança, caixas de auditoria ou artefatos de sincronização de calendário/log indicativos de adulteração pós-intrusão no Office Suite. A telemetria inclui logs de auditoria do Microsoft 365 (Unified Audit Log), eventos de modificação de regras de inbox via Exchange Online, alertas de alteração de políticas de retenção e logs de acesso ao Exchange Admin Center. Adversários que comprometem contas de email frequentemente deletam regras de segurança para impedir notificações de alertas e logs de auditoria que revelariam suas atividades de exfiltração ou espionagem. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0525](https://attack.mitre.org/detectionstrategies/DET0184#AN0525)*