# AN1019 — Analytic 1019 ## Descrição Este analítico detecta acesso excessivo ou programático a espaços e páginas do Confluence por usuários privilegiados, identificando padrões de acesso em burst e ferramentas ou scripts que abusam da API do Confluence para enumeração em massa ou scraping de dados da plataforma de wiki corporativa. A telemetria utilizada inclui logs de auditoria do Confluence (Audit Log), registros de uso da API REST correlacionados com sessão de usuário e papel, e alertas de UEBA para desvio de comportamento em relação ao baseline de acesso de documentos. Esta detecção é crítica para proteger repositórios de conhecimento corporativo — como documentação de arquitetura, playbooks de IR e credenciais documentadas — que são alvos primários de coleta de dados em ataques de espionagem corporativa e inicial access brokers. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN1019](https://attack.mitre.org/detectionstrategies/DET0358#AN1019)*