# AN1330 — Analytic 1330 ## Descrição Detecta conta de usuário interno acessando links compartilhados fora da organização seguida de download massivo de arquivos. A telemetria inclui logs de auditoria do Microsoft 365 para acesso a links de compartilhamento, eventos de download de arquivos do SharePoint/OneDrive e correlação com o contexto da conta de usuário (nova conta, acesso de IP incomum, horário fora do padrão). Esta detecção é importante para identificar comprometimento de contas Office 365 onde adversários, após autenticar-se com credenciais roubadas, utilizam links de compartilhamento existentes para mapear e exfiltrar arquivos corporativos de forma sistemática e difícil de distinguir de comportamento legítimo de usuário. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1330](https://attack.mitre.org/detectionstrategies/DET0484#AN1330)*