# AN0617 — Analytic 0617 ## Descrição Este analítico detecta montagem de dispositivo de bloco USB seguida de acesso a arquivos em diretórios sensíveis ou operações de cópia em alto volume por processos controlados pelo usuário no Linux. A telemetria inclui eventos de montagem de dispositivo USB via `udev` e `dmesg`, logs de auditoria Linux com monitoramento de acesso a arquivos em pontos de montagem USB (`/media`, `/mnt`) e correlação com processos que realizam operações de leitura em alto volume de diretórios de dados sensíveis após a montagem. Essa detecção é importante em workstations e servidores Linux com portas USB ativas, onde a prevenção de exfiltração física requer monitoramento de comportamento de acesso a dados combinado com eventos de dispositivo para distinguir uso legítimo de cópia não autorizada. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0617](https://attack.mitre.org/detectionstrategies/DET0220#AN0617)*