# AN1008 — Analytic 1008 ## Descrição Este analítico detecta volume anormalmente alto de mensagens de e-mail de entrada ou anexos repetitivos entregues a uma caixa de correio específica em uma janela de tempo curta, correlacionando picos anômalos na contagem de mensagens com eventos de criação de arquivos de anexo direcionados a usuários específicos. A telemetria utilizada inclui logs de Exchange/Microsoft 365, eventos de Message Tracking Log e alertas do Microsoft Defender for Office 365 para volume de e-mail acima do baseline, além de eventos de criação de arquivos em diretórios de cache de Outlook. Esta detecção é relevante para identificar campanhas de phishing em massa e ataques de mail flooding usados como distração durante operações de intrusão ou para sobrecarregar sistemas de e-mail corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1008](https://attack.mitre.org/detectionstrategies/DET0355#AN1008)*