# AN0724 — Analytic 0724 ## Descrição Esta analítica detecta comportamento de preparação local de dados em Windows, identificando leituras de arquivos em múltiplos diretórios seguidas de gravações em diretórios temporários ou de staging, frequentemente com compressão ou cifragem dos dados. A telemetria utilizada inclui logs do sistema de arquivos (Sysmon Event ID 11, 23), monitoramento de processos e eventos de acesso a arquivos do EDR. A detecção é importante porque a preparação local é um estágio precursor à exfiltração, permitindo identificar e interromper o ataque antes que os dados deixem o ambiente. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0724](https://attack.mitre.org/detectionstrategies/DET0261#AN0724)*