# AN0344 — Analytic 0344 ## Descrição Detecta montagem de volumes externos seguida de acesso em alto volume ou a arquivos sensíveis via Finder, terminal ou aplicativos de terceiros como `rsync` ou `zip`. A telemetria inclui eventos de montagem de volume do macOS, logs do Endpoint Security Framework para acesso a arquivos e análise de processos com acesso a pontos de montagem externos. Essa analítica é relevante para detectar exfiltração via mídia removível em ambientes macOS, especialmente em setores que lidam com propriedade intelectual e dados regulamentados. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0344](https://attack.mitre.org/detectionstrategies/DET0123#AN0344)*