# AN1145 — Analytic 1145 ## Descrição Monitora o acesso a arquivos em compartilhamentos de rede (C$, Admin$) seguido de operações incomuns de leitura ou cópia por processos que normalmente não realizam esse tipo de atividade, como PowerShell ou certutil. A telemetria inclui eventos de auditoria de acesso a objetos do Windows (Event IDs 5140, 5145), logs de SMB no servidor e rastreamento de processos para correlacionar acesso ao compartilhamento com execução de processos suspeitos. A detecção de coleta não autorizada em compartilhamentos administrativos é fundamental porque é uma etapa comum em cadeias de ataque de ransomware e exfiltração de dados corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1145](https://attack.mitre.org/detectionstrategies/DET0410#AN1145)*