# AN0555 — Analytic 0555 ## Descrição Este analítico detecta criação, deleção ou modificação não autorizada de dados armazenados críticos para o negócio no Windows, como documentos Office, arquivos de banco de dados e arquivos de log, identificando processos anômalos modificando esses dados fora dos fluxos de trabalho esperados (como processos não-banco de dados modificando arquivos de banco de dados). A telemetria inclui eventos de acesso a arquivos do Sysmon (Event ID 11, 23), alertas de FIM para arquivos críticos, e correlação entre o processo acessante e a lista de permissão de processos legítimos para cada tipo de dado. Essa detecção é essencial para identificar sabotagem de dados, ransomware direcionado e exfiltração preparatória de documentos críticos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0555](https://attack.mitre.org/detectionstrategies/DET0193#AN0555)*