# AN0194 — Analytic 0194 ## Descrição Detecta transferências de arquivo ou operações de montagem de hosts remotos seguidas de gravações em diretório de staging local, frequentemente utilizando SMB ou atividade de shell remoto para agregar dados coletados de múltiplos sistemas antes de exfiltração. A telemetria inclui eventos de auditoria de compartilhamento de arquivo Windows (Security EID 5140/5145) registrando acessos SMB incomuns, Sysmon para criação de arquivo em diretórios de staging típicos (ex.: `%TEMP%`, `C:\Windows\Temp`) e correlação com sessões de rede remotas. Essa analítica detecta a fase de preparação para exfiltração em ataques avançados, onde adversários consolidam dados de múltiplos sistemas comprometidos em um ponto central antes de transferi-los para fora da rede, reduzindo a visibilidade de conexões externas repetidas. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0194](https://attack.mitre.org/detectionstrategies/DET0071#AN0194)*