# AN0655 — Analytic 0655 ## Descrição Detecta anexos de spear-phishing correlacionando entrega suspeita de e-mail com criação subsequente de arquivo e execução anômala de processos — como Office gerando PowerShell ou CMD. A cadeia de telemetria inclui logs do servidor de e-mail (Exchange/O365 Unified Audit Log), Sysmon (Events 1, 11) e logs de rede que cobrem o fluxo completo: metadados de e-mail de entrada → anexo armazenado em disco → execução de processo → atividade de rede de saída. Essa analítica é fundamental pois spear-phishing é o vetor de acesso inicial mais prevalente em campanhas APT e de ransomware direcionadas a organizações brasileiras. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0655](https://attack.mitre.org/detectionstrategies/DET0236#AN0655)*