# AN1589 — Analytic 1589 ## Descrição Detecta criação de regras de caixa de entrada via PowerShell (New-InboxRule) ou regras de transporte usando cmdlets do Exchange, correlacionando comportamento de usuário, uso de cmdlets e propriedades das regras criadas. A telemetria inclui logs de auditoria do Exchange/Microsoft 365 (Unified Audit Log), eventos de execução de PowerShell e registros de operações de gerenciamento de email. Adversários criam regras de email para encaminhar automaticamente correspondências a endereços externos, facilitando coleta persistente de inteligência e exfiltração de dados corporativos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1589](https://attack.mitre.org/detectionstrategies/DET0576#AN1589)*