# AN1269 — Analytic 1269 ## Descrição Detecta uso de pares de credenciais vazadas contra Outlook Web Access (OWA), Microsoft 365 ou Exchange a partir de um único IP de cliente com múltiplas falhas, indicando ataque de credential stuffing contra infraestrutura de e-mail corporativa. A telemetria inclui logs de autenticação do Exchange, eventos de auditoria do Microsoft 365 e correlação de padrões de falha de autenticação por IP. Essa análise é essencial dado que o acesso a e-mail corporativo é um objetivo de alto valor para adversários em campanha de espionagem ou extorsão. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-004-credential-stuffing|T1110.004 — Credential Stuffing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1566-phishing|T1566 — Phishing]] --- *Fonte: [MITRE ATT&CK — AN1269](https://attack.mitre.org/detectionstrategies/DET0460#AN1269)*