# AN0043 — Analytic 0043 ## Descrição Detecta operações de expansão de disco virtual ou cópia de arquivos para buckets de nuvem ou volumes montados a partir de instâncias isoladas, indicando preparação e staging de dados para exfiltração em ambientes IaaS. A telemetria inclui logs de auditoria de provedores de nuvem (operações S3/GCS/Azure Blob), eventos de attach/detach de volumes e chamadas de API para criação de snapshots de disco. Esse analítico é crítico para ambientes de nuvem onde adversários criam snapshots de volumes de dados ou copiam discos inteiros para buckets controlados por eles, uma técnica usada em violações de dados massivos em AWS e Azure. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0043](https://attack.mitre.org/detectionstrategies/DET0014#AN0043)*