# AN0186 — Analytic 0186 ## Descrição Detecta no Linux uma cadeia onde logs udev/kernel mostram hot-plug (USB/Thunderbolt/PCIe), um dispositivo de bloco é criado pelo udisks/diskarbitration e, opcionalmente, uma nova interface de rede ou concessão DHCP é observada, correlacionando `/var/log/messages|syslog`, auditd SYSCALL open/creat em `/dev` e DHCP/Zeek. A telemetria inclui eventos udev de criação de dispositivo de bloco, auditd SYSCALL para operações de arquivo em `/dev` após o evento de dispositivo e registros de concessão DHCP para novas interfaces de rede. Essa analítica é relevante em servidores Linux e workstations corporativas para detectar exfiltração via USB e adição de dispositivos de hardware não autorizados, especialmente em ambientes de alta segurança onde o acesso físico deve ser monitorado tão rigorosamente quanto o acesso remoto. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0186](https://attack.mitre.org/detectionstrategies/DET0069#AN0186)*