# AN0367 — Analytic 0367 ## Descrição Detecta comportamento incomum de transferência de arquivos para o exterior usando protocolos como FTP, SMB, SMTP ou DNS, envolvendo processos não padrão, atividade fora do horário comercial ou volume anormalmente alto de dados transferidos. A telemetria inclui logs de firewall, análise de tráfego de rede por protocolo, dados de NetFlow e eventos de criação de processos com conexões de rede (Sysmon Event ID 3). Essa analítica é essencial para detectar exfiltração de dados em ambientes Windows, especialmente quando adversários abusam de protocolos legítimos para disfarçar a transferência de dados roubados como tráfego corporativo normal. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0367](https://attack.mitre.org/detectionstrategies/DET0131#AN0367)*