# AN1581 — Analytic 1581 ## Descrição Detecta atividade de usuário que compartilha ou sincroniza arquivos com domínios externos via geração de links, compartilhamento externo do OneDrive, ou ações de transferência de arquivos envolvendo tenants de parceiros não autorizados. A telemetria é obtida dos logs de auditoria do Microsoft 365 (Unified Audit Log), que registram todas as operações de compartilhamento e acesso externo em serviços como SharePoint e OneDrive. A detecção é importante para identificar exfiltração de dados sensíveis disfarçada de colaboração legítima em plataformas SaaS corporativas. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1581](https://attack.mitre.org/detectionstrategies/DET0573#AN1581)*