# AN1312 — Analytic 1312 ## Descrição Correlaciona criação incomum de regras de auto-encaminhamento via Exchange Web Services ou mecanismo de regras do Outlook, presença de cabeçalhos `X-MS-Exchange-Organization-AutoForwarded` e anomalias de sessão de logon originadas de IPs incomuns. A telemetria inclui logs de auditoria do Exchange/Microsoft 365 (Unified Audit Log), alertas de Microsoft Defender for Office 365 sobre regras de encaminhamento externas e correlação com eventos de autenticação suspeitos. Esta detecção é crítica para identificar adversários que comprometem contas de email corporativo e configuram encaminhamento automático silencioso para domínios externos, uma etapa central em ataques de BEC (Business Email Compromise) e campanhas de espionagem. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1114-003-email-forwarding-rule|T1114.003 — Email Forwarding Rule]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1312](https://attack.mitre.org/detectionstrategies/DET0476#AN1312)*