# AN1089 — Analytic 1089 ## Descrição Este analítico detecta a enumeração em massa de identidades de usuários de cloud via `Get-Recipient`, `Get-Mailbox`, `Get-User` ou listagens de diretório da Graph API por contas anômalas ou sessões suspeitas. Utiliza telemetria de logs de auditoria do Microsoft 365 e Exchange Online para identificar padrões de consulta em larga escala a diretórios de usuários. A detecção é relevante porque adversários que comprometem contas Microsoft 365 frequentemente realizam enumeração massiva de usuários para identificar alvos de spear-phishing interno e mapear a estrutura organizacional da vítima. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1089](https://attack.mitre.org/detectionstrategies/DET0386#AN1089)*