# AN0195 — Analytic 0195 ## Descrição Detecta transferências SCP, rsync ou montagens NFS inbound de sistemas remotos seguidas de agregação de arquivos em caminhos de staging conhecidos como `/mnt/staging` ou `/var/tmp`, indicando preparação de dados para exfiltração em ambientes Linux. A telemetria inclui logs auditd de chamadas de sistema de rede (connect/bind) de ferramentas de transferência, eventos de criação de arquivo em diretórios de staging e análise de volume de dados por processo e destino de rede para identificar acumulação anômala. Essa analítica é fundamental em servidores Linux de produção onde rsync e SCP são frequentemente usados para backups legítimos, tornando necessária a correlação com contexto de horário, volume incomum e destinos de rede para distinguir staging malicioso de operações normais de backup. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0195](https://attack.mitre.org/detectionstrategies/DET0071#AN0195)*