# AN0679 — Analytic 0679 ## Descrição Detecta atividade de enumeração e exportação de banco de dados — como `SELECT * FROM` e `SHOW DATABASES` — emitida via VMs efêmeras, APIs de administração ou cloud shell por contas não vinculadas a monitoramento. A telemetria inclui logs de auditoria de cloud (CloudTrail, GCP Admin Activity, AzureDiagnostics), logs de operações de escrita em storage e rastreamento de transferências entre regiões por identidades não associadas a operações de banco de dados. Essa analítica é crítica pois bancos de dados em IaaS frequentemente armazenam dados de negócio de alto valor; adversários com acesso a credenciais de cloud podem exfiltrar datasets inteiros usando APIs nativas sem gerar alertas convencionais de intrusão de rede. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0679](https://attack.mitre.org/detectionstrategies/DET0242#AN0679)*