# AN0554 — Analytic 0554 ## Descrição Este analítico detecta criação suspeita de regras no Outlook ou Exchange, incluindo condições de auto-movimentação ou deleção vinculadas a palavras-chave de incidente ou alerta de segurança, correlacionando emails de entrada ausentes com regras de caixa de correio recém-adicionadas. A telemetria inclui logs de auditoria do Exchange Online/Microsoft 365 para criação e modificação de regras, alertas de MCAS (Microsoft Defender for Cloud Apps) para comportamento anômalo de regras de inbox e análise de conteúdo de regras para palavras-chave críticas como "invoice", "wire transfer" ou termos de segurança. Esse analítico é fundamental para detectar BEC avançado onde adversários ocultam a presença de fraude bloqueando notificações de alerta. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0554](https://attack.mitre.org/detectionstrategies/DET0192#AN0554)*