# AN0696 — Analytic 0696 ## Descrição Identifica acesso não autorizado ou enumeração de funções administrativas, grupos de segurança ou grupos de distribuição via APIs do Exchange, SharePoint, Teams ou scripts de descoberta de funções no Microsoft 365. A telemetria inclui logs do Office 365 Unified Audit Log, logs do Azure AD e alertas do Microsoft Defender que identificam chamadas de API de listagem de grupos e membros por usuários fora de funções administrativas ou por aplicações com permissões excessivas. Essa analítica é importante pois a enumeração de grupos do M365 fornece ao adversário um mapa detalhado da estrutura organizacional, identificando alvos de spear-phishing, contas de serviço privilegiadas e caminhos de escalada de permissões em ambientes híbridos. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0696](https://attack.mitre.org/detectionstrategies/DET0251#AN0696)*