det0192-detection-strategy-for-email-hiding-rules

# DET0192 — Detection Strategy for Email Hiding Rules ## Descrição Esta estratégia detecta a criação de regras maliciosas de e-mail para ocultar comúnicações do adversário — mapeada para [[T1564.008 — Email Hiding Rules]]. Adversários com acesso à caixa de correio da vítima criam regras que automaticamente movem, deletam ou marcam como lido e-mails específicos (alertas de segurança, notificações de login, respostas a phishing) para impedir que o usuário perceba o comprometimento. A detecção monitora criação e modificação de regras de inbox via API do Exchange, Microsoft Graph, IMAP ou interface web. Regras que movem para "Itens Excluídos", deletam automaticamente, ou redirecionam e-mails contendo palavras-chave suspeitas (`"password reset"`, `"security alert"`, `"verification"`) são de alta prioridade. Logs de auditoria do Exchange (New-InboxRule, Set-InboxRule) e Microsoft 365 Compliance Center são fontes primárias. Quatro analytics cobrem: criação de regras Exchange/Office 365 via PowerShell, regras criadas via Graph API por aplicações de terceiros, regras com ação de deleção automática, e regras criadas durante sessões de login anômalas. A correlação com eventos de acesso a e-mail de IPs suspeitos no mesmo período confirma comprometimento ativo. ## Indicadores de Detecção - `New-InboxRule` ou `Set-InboxRule` executados via PowerShell remoto - Regra criada com ação `DeleteMessage` ou `MoveToFolder: Deleted Items` - Regra filtrando por remetentes de segurança conhecidos (seu provedor de SSO, SIEM, helpdesk) - Regra com `ForwardTo` para endereço externo não autorizado - Criação de regra via Graph API por aplicação não catalogada no tenant - Regra criada durante sessão de login de IP incomum ou fora do horário do usuário - Múltiplas regras criadas em sequência rápida (> 3 regras em < 5 minutos) ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0551-analytic-0551|AN0551 — Analytic 0551]] - [[an0552-analytic-0552|AN0552 — Analytic 0552]] - [[an0553-analytic-0553|AN0553 — Analytic 0553]] - [[an0554-analytic-0554|AN0554 — Analytic 0554]] --- *Fonte: [MITRE ATT&CK — DET0192](https://attack.mitre.org/detectionstrategies/DET0192)*