# AN0618 — Analytic 0618 ## Descrição Este analítico detecta montagem de volume externo com cópia de arquivos iniciada pelo Finder, Terminal ou scripts a partir de perfis de usuário, pastas sensíveis ou diretórios de sincronização de armazenamento em nuvem para USB no macOS. A telemetria inclui logs de montagem de volume do macOS (`/var/log/system.log`, Unified Logging com eventos DiskArbitration), monitoramento de operações de cópia de arquivos do Endpoint Security Framework e correlação de atividade de acesso a dados com eventos de montagem de volume externo. Essa detecção é relevante pois Macs são frequentemente usados por funcionários com acesso a dados altamente sensíveis (design, código-fonte, dados financeiros), e a cópia de dados de nuvem sincronizados para USB representa um vetor de exfiltração que contorna controles de DLP baseados em rede. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0618](https://attack.mitre.org/detectionstrategies/DET0220#AN0618)*