# AN1591 — Analytic 1591 ## Descrição Detecta criação de regras de encaminhamento ou redirecionamento de email no Exchange Online via New-InboxRule ou cmdlets de regras de transporte, incluindo uso do campo de auto-encaminhamento para endereços externos. A telemetria é obtida dos logs de auditoria do Microsoft 365 (Unified Audit Log), que registram operações de gerenciamento de regras de caixa de entrada e permitem identificar configurações suspeitas de encaminhamento automático. Grupos de espionagem utilizam frequentemente essa técnica para coletar email corporativo de forma contínua após um comprometimento inicial de credenciais. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1591](https://attack.mitre.org/detectionstrategies/DET0576#AN1591)*