# AN0740 — Analytic 0740 ## Descrição Esta analítica detecta alterações em regras de transporte do Exchange Online ou on-premise (como remoção de cabeçalhos) e limpeza de exportações de caixa de correio via `Remove-MailboxExportRequest`, bem como ações administrativas via sessões PowerShell do Exchange. A telemetria inclui logs de auditoria do Office 365, logs do Unified Audit Log (UAL) e eventos de PowerShell Remoting correlacionados com ações administrativas no Exchange. A detecção é crítica porque modificações em regras de transporte podem ser usadas para evasão de DLP e cobertura de exfiltração de e-mails em ambientes corporativos. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0740](https://attack.mitre.org/detectionstrategies/DET0266#AN0740)*