# AN0737 — Analytic 0737 ## Descrição Esta analítica detecta manipulação ou exclusão de caixas de correio via PowerShell (como Remove-MailboxExportRequest), exclusão de arquivos dos datastores do Outlook (Unistore.db) ou adulteração de logs de e-mail em quarentena no Windows. A telemetria inclui logs de auditoria do Exchange, eventos de execução do PowerShell (Event ID 4104), e monitoramento de sistema de arquivos para o diretório de dados do Outlook. A detecção é importante para identificar adversários cobrindo rastros após exfiltração de e-mails ou realizando tampering de evidências de comunicação. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1485-data-destruction|T1485 — Data Destruction]] --- *Fonte: [MITRE ATT&CK — AN0737](https://attack.mitre.org/detectionstrategies/DET0266#AN0737)*