# AN0894 — Analytic 0894 ## Descrição Este analytic detecta a desabilitação de macros de segurança ou configurações de modo seguro no Word, Excel e Outlook, bem como edições no registro ou alterações em arquivos de configuração que enfraquecem a aplicação de macros. A telemetria inclui eventos de modificação do registro do Windows (chaves `HKCU\Software\Microsoft\Office`), logs de auditoria do Microsoft 365 e eventos de criação de processo vinculados a aplicações Office. Enfraquecer os controles de macro do Office é uma etapa preparatória clássica para ataques de phishing com documentos maliciosos, permitindo que adversários executem VBA ou código externo sem alertas ao usuário. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Attachment]] - [[t1059-005-visual-basic|T1059.005 — Visual Basic]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0894](https://attack.mitre.org/detectionstrategies/DET0317#AN0894)*