# AN1566 — Analytic 1566 ## Descrição Este analítico detecta acesso suspeito a mensagens do Microsoft Teams via eDiscovery, Graph API ou métodos de exportação após sign-in de risco ou comprometido, frequentemente associado a acesso excessivo a arquivos, revisão de conteúdo sensível ou comportamento anômalo em relação ao padrão normal do usuário. A telemetria é obtida do Microsoft 365 Unified Audit Log (via Microsoft Purview) que registra operações eDiscovery, chamadas Graph API e exportações de Teams com detalhes de usuário, IP de origem e volume de dados processados. A relevância é crítica em ambientes corporativos Microsoft 365 pois o Microsoft Teams contém conversas confidenciais, arquivos compartilhados e dados de projetos sensíveis que são alvos de alto valor em ataques de espionagem corporativa e roubo de propriedade intelectual. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1078-004-cloud-accounts|T1078.003 — Valid Accounts: Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN1566](https://attack.mitre.org/detectionstrategies/DET0567#AN1566)*