# AN1117 — Analytic 1117 ## Descrição Este analítico detecta mecanismos de persistência baseados em inicialização dentro do Microsoft Office Suite, como macros em templates e redirecionamentos de home page configurados via automação interna ou configurações do lado do cliente. Utiliza telemetria de logs de auditoria do Microsoft 365 e monitoramento de políticas do Office para identificar modificações em configurações de inicialização de aplicações Office. A detecção é relevante porque esses mecanismos de persistência via Office Suite são difíceis de detectar sem telemetria específica e permitem que o adversário execute código malicioso sempre que a vítima abre aplicações do pacote Office. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN1117](https://attack.mitre.org/detectionstrategies/DET0398#AN1117)*