det0047-detect-local-email-collection-via-outlook-data-file-access-and-command-l

# DET0047 — Detect Local Email Collection via Outlook Data File Access and Command Line Tooling ## Descrição Esta estratégia detecta a coleta local de e-mails via acesso direto a arquivos de dados do Outlook (`.pst`, `.ost`) ou uso de ferramentas de linha de comando para exportar conteúdo de caixas de correio. Adversários buscam e-mails corporativos como fonte de inteligência para ataques posteriores, extração de credenciais compartilhadas, dados financeiros ou propriedade intelectual — especialmente em campanhas de espionagem corporativa e APTs focados em setores financeiro e governo. Alinhada a [[T1114.001-email-collection-local-email-collection]], a técnica envolve acesso a arquivos PST/OST localizados em `%USERPROFILE%\Documents\Outlook Files\` ou `%LOCALAPPDATA%\Microsoft\Outlook\`, ou uso de ferramentas como `outlook.exe /exportprf`, PowerShell via API MAPI, ou utilitários de terceiros para extração de mensagens. O acesso a esses arquivos por processos que não sejam o próprio Outlook é o sinal primário. A telemetria deve correlacionar eventos de acesso a arquivos (Sysmon EID 11) com o processo acessante — qualquer processo além de `outlook.exe`, `searchindexer.exe` ou agentes de backup legítimos merece investigação. A cópia de arquivos PST para locais temporários ou drives removíveis é indicativo de exfiltração preparatória. ## Indicadores de Detecção - Acesso a arquivos `*.pst` ou `*.ost` por processo diferente de `outlook.exe` ou `searchindexer.exe` - Cópia de arquivos PST para `%TEMP%`, caminhos de rede ou drives removíveis - Execução de `outlook.exe` com parâmetros de exportação por conta de serviço ou processo pai incomum - PowerShell ou scripts acessando namespace MAPI (`Microsoft.Office.Interop.Outlook`) - Acesso em massa a múltiplos arquivos `.msg` ou `.eml` por um processo em curto intervalo de tempo ## Técnicas Relacionadas - [[T1114.001-email-collection-local-email-collection]] — técnica primária detectada - [[t1114-email-collection|T1114-email-collection]] — categoria pai de coleta de e-mail - [[t1005-data-from-local-system|T1005-data-from-local-system]] — coleta de dados do sistema local - [[t1560-archive-collected-data|T1560-archive-collected-data]] — compressão de PST para exfiltração - [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] — exfiltração posterior do arquivo coletado ## Analytics Relacionadas - [[an0130-analytic-0130|AN0130 — Analytic 0130]] --- *Fonte: [MITRE ATT&CK — DET0047](https://attack.mitre.org/detectionstrategies/DET0047)*