# AN0725 — Analytic 0725 ## Descrição Esta analítica detecta a agregação de arquivos de diferentes diretórios para locais temporários em Linux, como /tmp ou /mnt, utilizando ferramentas de arquivamento como tar ou gzip. A telemetria utilizada inclui auditd (syscalls open, read, write), logs de processos do sistema e monitoramento de acesso ao sistema de arquivos via inotify ou EDR. A detecção é relevante porque a centralização de dados em diretórios temporários é um indicativo claro de preparação para exfiltração, especialmente quando combinada com ferramentas de compressão. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0725](https://attack.mitre.org/detectionstrategies/DET0261#AN0725)*