# AN0342 — Analytic 0342 ## Descrição Detecta inserção de unidade removível seguida de acesso incomum a arquivos, atividade de compressão ou staging realizada por usuários não autorizados ou processos inesperados no Windows. A telemetria inclui eventos de montagem de dispositivo (Event ID 6416), acesso a arquivos e criação de arquivos compactados (zip, 7z, rar) por processos fora do baseline. Essa analítica é relevante para detectar exfiltração de dados físicos — técnica usada tanto por ameaças internas quanto por adversários externos que obtiveram acesso físico ou remoto a estações de trabalho. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0342](https://attack.mitre.org/detectionstrategies/DET0123#AN0342)*