# AN1302 — Analytic 1302 ## Descrição Detecta macros ou scripts embutidos adicionados a documentos compartilhados, ou o uso de referências externas para executar código a partir de documentos Office. A telemetria inclui logs de auditoria do Office 365, alertas sobre documentos com macros VBA em bibliotecas compartilhadas do SharePoint/OneDrive, eventos de execução de processos filhos originados de aplicativos Office e inspeção de DDE (Dynamic Data Exchange). Esta detecção é fundamental para identificar técnicas de phishing e comprometimento de conteúdo compartilhado onde adversários inserem código malicioso em documentos legítimos de uso corporativo para obter execução de código nos sistemas de usuários que abrem esses documentos. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1080-taint-shared-content|T1080 — Taint Shared Content]] - [[t1137-office-application-startup|T1137 — Office Application Startup]] - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1204-002-malicious-file|T1204.002 — Malicious File]] --- *Fonte: [MITRE ATT&CK — AN1302](https://attack.mitre.org/detectionstrategies/DET0471#AN1302)*