# AN0551 — Analytic 0551 ## Descrição Este analítico detecta criação ou modificação suspeita de regras de inbox via PowerShell (`New-InboxRule`, `Set-InboxRule`) para deletar, mover ou ocultar emails automaticamente no Windows. A telemetria inclui logs de auditoria do Exchange/Microsoft 365 para operações de regras de inbox, logs de PowerShell (Event ID 4103, 4104) para cmdlets de regras de email, e correlação entre atividade de regras e padrões de acesso a caixas de correio. Regras de inbox maliciosas são uma técnica clássica de BEC (Business Email Compromise) usada para interceptar comúnicações de segurança, respostas de víctimas e notificações de transações financeiras. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0551](https://attack.mitre.org/detectionstrategies/DET0192#AN0551)*