# AN0642 — Analytic 0642 ## Descrição Detecta consultas suspeitas em volume elevado aos dados de diretório organizacional via Google Workspace Directory API ou sincronização do GAL do Outlook, realizadas por usuários atípicos, contas de serviço ou dispositivos desconhecidos. A telemetria primária inclui logs de auditoria do Google Workspace (Admin Audit, Drive Audit) e registros de sincronização do Exchange/Outlook que capturam padrões de acesso fora do comportamento esperado. Essa detecção é crítica pois enumeração em massa de diretórios frequentemente precede campanhas de spear-phishing e movimentação lateral direcionada a contas de alto privilégio. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1589-gather-victim-identity-information|T1589 — Gather Victim Identity Information]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0642](https://attack.mitre.org/detectionstrategies/DET0229#AN0642)*