# AN0616 — Analytic 0616 ## Descrição Este analítico detecta inserção de dispositivo USB seguida de atividade de acesso a arquivos em alto volume ou de dados sensíveis e staging por processos ou contas suspeitas no Windows. A telemetria inclui eventos de conexão de dispositivo USB (Event ID 2003, registros do Plug and Play), eventos de acesso a arquivos em volume (Sysmon Event ID 11, Event ID 4663) e correlação de temporalidade entre a inserção do dispositivo e a atividade de cópia de arquivos por usuários ou processos inesperados. Essa detecção é relevante para identificar exfiltração via mídia física, uma ameaça insider comum em ambientes corporativos com dados sensíveis, onde adversários internos ou agentes externos com acesso físico copiam grandes volumes de dados para dispositivos USB portáteis. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0616](https://attack.mitre.org/detectionstrategies/DET0220#AN0616)*