# AN1052 — Analytic 1052 ## Descrição Este analítico detecta a execução de comandos PowerShell que modificam permissões de caixa de correio usando cmdlets do Exchange (como `Add-MailboxPermission`), frequentemente associados a comprometimento de e-mail corporativo (BEC) ou persistência pós-comprometimento. Utiliza telemetria de logs de auditoria do PowerShell (Script Block Logging), eventos de segurança do Windows e logs do Exchange Online. Esta detecção é crítica pois a delegação silenciosa de caixas de correio permite acesso contínuo a e-mails sem alterar credenciais, sendo uma técnica central em campanhas de espionagem e fraude financeira. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1052](https://attack.mitre.org/detectionstrategies/DET0373#AN1052)*