# AN1146 — Analytic 1146 ## Descrição Detecta acesso ou cópia incomum de arquivos de unidades de rede montadas (NFS, CIFS/SMB) por shells de usuário ou scripts, seguidos de transferência de grande volume de dados. A telemetria utilizada inclui auditd com regras para syscalls de leitura de arquivos em pontos de montagem de rede, logs de syslog e monitoramento de tráfego de rede para correlacionar acesso ao compartilhamento com volume de transferência anômalo. Esse analítico é relevante em ambientes Linux corporativos onde servidores com compartilhamentos NFS/CIFS montados podem ser utilizados como ponto de coleta massiva de dados antes de exfiltração. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1146](https://attack.mitre.org/detectionstrategies/DET0410#AN1146)*