# AN1311 — Analytic 1311 ## Descrição Monitora acesso ao banco de dados do Mail.app ou arquivos maildir, automação via AppleScript e criação anômala de regras de email usando frameworks de scripting ou automação de UI. A telemetria inclui unified logs do macOS para acesso a `~/Library/Mail/`, eventos de execução de AppleScript, logs de Accessibility API e alertas sobre modificações de regras de email via scripting dicionário do Mail.app. Esta detecção é relevante para identificar coleta de emails em macOS onde adversários utilizam automação AppleScript ou acesso direto a banco de dados de email para extrair comúnicações sem interação visível com a interface gráfica do cliente de email. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1114-001-local-email-collection|T1114.001 — Local Email Collection]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1114-003-email-forwarding-rule|T1114.003 — Email Forwarding Rule]] --- *Fonte: [MITRE ATT&CK — AN1311](https://attack.mitre.org/detectionstrategies/DET0476#AN1311)*