det0229-enumeration-of-global-address-lists-via-email-account-discovery

# DET0229 — Enumeration of Global Address Lists via Email Account Discovery ## Descrição Esta estratégia detecta a enumeração de Global Address Lists (GAL) em ambientes Exchange/Microsoft 365, técnica de descoberta usada para mapear usuários e grupos de uma organização. Adversários com acesso a uma conta de e-mail legítima frequentemente consultam a GAL para identificar alvos de alto valor (executivos, TI, RH) antes de realizar ataques de spearphishing interno ou movimentação lateral. As GALs são acessíveis por padrão a todos os usuários autenticados no Exchange e M365. O abuso é detectado por volume anômalo de consultas LDAP/EWS para listas de endereços, uso de cmdlets PowerShell como `Get-GlobalAddressList` ou `Get-Recipient`, e scripts que iteram por todos os objetos de contato de uma organização em curto período. A telemetria inclui logs de auditoria do Exchange (UnifiedAuditLog), eventos LDAP em Domain Controllers (Event ID 1644), e monitoramento de chamadas à API Graph/EWS do Microsoft 365 para operações de listagem de usuários. ## Indicadores de Detecção - Volume alto de consultas EWS `ResolveNames` ou `GetUserAvailability` por uma única conta em curto período - Uso de `Get-GlobalAddressList`, `Get-AddressList` ou `Get-Recipient` via PowerShell remoto - Consultas LDAP ao atributo `proxyAddresses` para grande quantidade de objetos consecutivos - Script ou ferramenta realizando export da GAL via MAPI ou OAB (Offline Address Book) download - Conta de usuário padrão acessando dados de diretório fora do horário normal de trabalho - Automação via Graph API (`/v1.0/users`) listando todos os usuários da organização em loop ## Técnicas Relacionadas - [[T1087.003-email-account|T1087.003 — Email Account]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] ## Analytics Relacionadas - [[an0641-analytic-0641|AN0641 — Analytic 0641]] - [[an0642-analytic-0642|AN0642 — Analytic 0642]] --- *Fonte: [MITRE ATT&CK — DET0229](https://attack.mitre.org/detectionstrategies/DET0229)*