Vários usuários relataram ter recebido e-mails de phishing, e pelo menos um admitiu ter seguido o link. A investigação descobriu que sua conta do Microsoft 365 havia sido comprometida (apesar de o MFA estar habilitado, não parece que era necessário ) e descobri em suas regras de caixa de correio do Outlook para mover certas mensagens para a pasta RSS Feeds (por que isso ainda é uma coisa por padrão) onde elas não seriam encontradas.
Suspeito que outros usuários podem ter sido comprometidos de forma semelhante, mas podem não saber ou não querer admitir. Entre outras coisas que estou investigando, eu me perguntei se é possível identificar todas as caixas de correio que têm regras criadas nos últimos 14 dias, ou caixas de correio que têm pastas RSS Feeds não vazias.
Você provavelmente poderia pesquisar os logs de auditoria da caixa de correio para o link de eventos new-inboxrule
Com um script como esse, você pode encontrar todos os eventos new-inboxRule e filtrá-los.
Provavelmente seria possível obter algo semelhante com get-MailboxFolderStatistics, mas não tenho certeza de qual é o nome da pasta RSS exibida no PowerShell.
Não é tão específico quanto a resposta fornecida por @NNMamdN, mas isso gera um CSV contendo todas as regras para todas as caixas de correio no locatário com a caixa de correio e alguns campos que podem ser usados para identificar regras suspeitas, como redirecionar ou encaminhar a mensagem para outro lugar, marcar a mensagem como lida ou movê-la para uma pasta diferente.