# AN1107 — Analytic 1107 ## Descrição Este analítico detecta a atribuição do role `ApplicationImpersonation` ou acesso delegado a caixas de correio para service principals ou usuários raramente utilizados, especialmente fora de horários normais ou de normas geográficas. Utiliza telemetria de logs de auditoria do Microsoft 365 e Exchange Online para identificar concessões de permissão de impersonação incomuns. A detecção é crítica porque o `ApplicationImpersonation` permite que uma conta acesse qualquer caixa de correio na organização, sendo uma das permissões mais exploradas em ataques BEC e de espionagem corporativa via Microsoft 365. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1107](https://attack.mitre.org/detectionstrategies/DET0393#AN1107)*