# AN0188 — Analytic 0188 ## Descrição Detecta atividade anômala de e-mail inbound onde anexos ou URLs embutidas são entregues a usuários seguidas de execução de novos processos ou comportamento suspeito de documentos, correlacionando metadados de e-mail, criação de arquivo e atividade de rede após o recebimento de mensagem de phishing. A telemetria inclui logs de gateway de e-mail (EML headers, análise de anexo), eventos Sysmon de criação de processos filhos iniciados por clientes de e-mail como Outlook e correlação temporal entre recebimento de e-mail e execução de processo ou criação de arquivo. Essa analítica cobre diretamente a técnica de acesso inicial mais prevalente em ataques a organizações, sendo fundamental para detectar campanhas de spear-phishing contra alvos de alto valor onde e-mails elaborados com pretexto convincente são utilizados para iniciar comprometimentos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0188](https://attack.mitre.org/detectionstrategies/DET0070#AN0188)*