# AN0162 — Analytic 0162 ## Descrição Correlaciona modificações não autorizadas ou anômalas em arquivos, exclusões ou alterações de metadados com execuções de processos suspeitos ou chamadas de API, com foco em alterações a dados estruturados como arquivos de banco de dados, logs e registros financeiros fora de fluxos esperados de negócio. A telemetria utilizada inclui eventos de auditoria de acesso a objetos do Windows (Sysmon EventID 11/23), chamadas à Win32 API de manipulação de arquivos e logs de integridade de aplicações. Essa analítica é importante porque a adulteração de dados estruturados pode indicar sabotagem operacional, fraude financeira ou preparação para exfiltração de dados sensíveis. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0162](https://attack.mitre.org/detectionstrategies/DET0059#AN0162)*