# AN0641 — Analytic 0641 ## Descrição Este analítico detecta enumeração de listas de endereços globais ou metadados de contas de email via cmdlets PowerShell (como `Get-GlobalAddressList`) ou MAPI/RPC a partir de sistemas não administrativos ou não servidores de email, indicando possível coleta de alvos para ataques de engenharia social ou phishing interno. A telemetria inclui logs de auditoria do Exchange Server e Microsoft 365 com eventos de acesso à lista de endereços, logs do PowerShell com registro de blocos de script filtrando cmdlets de enumeração de diretório e alertas de SIEM para acesso à GAL por sistemas que não sejam estações de trabalho de administradores de Exchange ou servidores de email. Essa detecção é relevante pois a enumeração da Global Address List é frequentemente a primeira etapa em ataques de Business Email Compromise (BEC) e campanhas de spear-phishing, fornecendo ao adversário uma lista completa de funcionários da organização com seus endereços de email para ataques direcionados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1598-phishing-for-information|T1598 — Phishing for Information]] --- *Fonte: [MITRE ATT&CK — AN0641](https://attack.mitre.org/detectionstrategies/DET0229#AN0641)*