# AN0792 — Analytic 0792 ## Descrição Esta analítica monitora atividade anômala de e-mail originada de aplicativos hospedados em Windows (como Outlook) onde o nome ou nome de exibição do remetente não corresponde ao endereço SMTP subjacente, detectando volume anormal de mensagens de saída com palavras-chave sensíveis (pagamento, transferência bancária) ou locais de login anômalos para contas associadas ao envio de e-mail. A telemetria inclui logs de auditoria do Exchange/Outlook, eventos de autenticação do Windows para logins de contas de e-mail e análise de conteúdo de e-mail via DLP. A detecção é fundamental para identificar ataques BEC (Business Email Compromise) que abusam de clientes de e-mail locais comprometidos para realizar fraude financeira. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1585-establish-accounts|T1585 — Establish Accounts]] --- *Fonte: [MITRE ATT&CK — AN0792](https://attack.mitre.org/detectionstrategies/DET0286#AN0792)*