# AN0680 — Analytic 0680 ## Descrição Detecta exportações excessivas ou não autorizadas de banco de dados ou tabelas em plataformas SaaS como Snowflake, Firebase, BigQuery ou Airtable por usuários ou aplicações fora de grupos conhecidos de analytics ou desenvolvimento. A telemetria inclui logs de auditoria das plataformas SaaS, padrões de acesso de API e logs de download de arquivo que identificam consultas ou exportações com volume ou frequência fora da linha de base do usuário, especialmente fora do horário de trabalho ou com templates de consulta novos. Essa analítica é importante para detectar abuso de credenciais SaaS comprometidas para exfiltração em massa de dados analíticos, um cenário crescente em ataques a plataformas de dados corporativas como o incidente Snowflake de 2024. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] --- *Fonte: [MITRE ATT&CK — AN0680](https://attack.mitre.org/detectionstrategies/DET0242#AN0680)*