# AN1070 — Analytic 1070 ## Descrição Este analítico detecta adversários coletando arquivos locais via PowerShell, WMI ou chamadas diretas à API de arquivos, frequentemente incluindo listagens recursivas de diretórios, leituras de arquivos direcionadas e staging temporário de arquivos. Utiliza telemetria de Sysmon (Event IDs 1, 11), Script Block Logging e monitoramento de acesso a arquivos para identificar padrões de coleta sistemática de dados. A detecção é importante porque a coleta local de dados é uma fase central em campanhas de espionagem antes de exfiltração, e padrões de acesso a múltiplos arquivos em curto espaço de tempo são indicadores comportamentais claros. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1070](https://attack.mitre.org/detectionstrategies/DET0380#AN1070)*