# AN0130 — Analytic 0130 ## Descrição Detecta processos que tentam localizar, acessar ou exfiltrar arquivos de dados locais do Outlook (.pst/.ost) utilizando acesso ao sistema de arquivos, utilitários nativos do Windows como PowerShell ou WMI, ou ferramentas de acesso remoto com capacidades de navegação de arquivo. A cadeia de comportamento inclui enumeração de diretório, acesso ao arquivo, possível compressão ou staging, e transferência de rede. A telemetria abrange logs do Sysmon (Event ID 11 para acesso a arquivo .pst/.ost, Event ID 15 para streams de arquivo), monitoramento de processos PowerShell e WMI que acessam o diretório AppData\Local\Microsoft\Outlook, e correlação com conexões de rede subsequentes. Este analítico é relevante porque arquivos PST/OST contêm histórico completo de comúnicações, sendo alvos de alto valor em campanhas de espionagem corporativa e exfiltração de dados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0130](https://attack.mitre.org/detectionstrategies/DET0047#AN0130)*