# AN0343 — Analytic 0343 ## Descrição Detecta dispositivos externos montados via `/media` ou `/mnt` seguidos de operações de cópia ou leitura de grandes volumes de arquivos por scripts shell, usuários não autorizados ou ferramentas de staging como `tar` e `rsync`. A telemetria inclui eventos de montagem do kernel, auditoria de syscalls de leitura/escrita em pontos de montagem e logs de uso de ferramentas de compressão. Essa analítica é essencial em servidores Linux e workstations de desenvolvedores onde o acesso a dispositivos USB pode ser explorado para exfiltração de propriedade intelectual ou dados sensíveis. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0343](https://attack.mitre.org/detectionstrategies/DET0123#AN0343)*