# AN1350 — Analytic 1350 ## Descrição Detecta a cadeia comportamental de abuso de administração delegada no Microsoft 365: (1) ofertas ou relacionamentos de administração delegada criados ou modificados por tenants parceiros; (2) delegação ou impersonação de caixa de correio habilitada; (3) acesso subsequente de IPs de parceiros. A telemetria inclui logs de auditoria do Microsoft 365 para modificações de relacionamentos DAP, eventos de delegação de caixa de correio e alertas do Microsoft Defender for Office 365 sobre acesso de identidade de parceiro. Esta detecção é crítica para ambientes M365 onde relações de administração delegada com parceiros da Microsoft são um vetor de comprometimento comprovado, permitindo a adversários que comprometem contas de revendedores acessar e controlar tenants de clientes com privilégios de administrador global. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1350](https://attack.mitre.org/detectionstrategies/DET0488#AN1350)*