# AN1309 — Analytic 1309 ## Descrição Correlaciona a criação de regras de encaminhamento de email ou anomalias em cabeçalhos (como `X-MS-Exchange-Organization-AutoForwarded`) com execução suspeita de processos, acesso a arquivos `.pst`/`.ost` e conexões de rede a servidores SMTP externos. A telemetria inclui logs de auditoria do Exchange/Outlook, eventos de modificação de regras de email, logs de conexão SMTP e eventos de processo correlacionados ao acesso de arquivos de dados do Outlook. Esta detecção é crítica para identificar adversários que configuram regras de encaminhamento silencioso para exfiltrar comúnicações de email sensíveis de forma contínua, uma técnica comum em campanhas de espionagem corporativa e comprometimento de email empresarial (BEC). **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1114-003-email-forwarding-rule|T1114.003 — Email Forwarding Rule]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1309](https://attack.mitre.org/detectionstrategies/DET0476#AN1309)*