# AN0556 — Analytic 0556 ## Descrição Este analítico detecta criação, modificação ou deleção suspeita de arquivos em diretórios de dados armazenados no Linux (como `/var/lib/mysql/`, `/var/log/`, spools de email), identificando comandos shell interagindo diretamente com arquivos de dados estruturados em vez de utilitários de banco de dados legítimos. A telemetria inclui auditd monitorando operações de arquivo em diretórios de dados críticos, alertas de FIM para arquivos de banco de dados, e correlação entre o usuário executor e os processos que deveriam ter acesso legítimo a esses arquivos. Acesso direto a arquivos de banco de dados por processos não-autorizados indica tentativa de exfiltração ou sabotagem de dados fora dos canais de auditoria normais. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0556](https://attack.mitre.org/detectionstrategies/DET0193#AN0556)*