# AN1410 — Analytic 1410 ## Descrição Detecta quando um adversário monta um dispositivo USB e inicia enumeração, cópia ou compressão de arquivos utilizando mecanismos de script, cmd ou ferramentas de acesso remoto em sistemas Windows. A telemetria inclui eventos de conexão de dispositivo removível, criação de arquivos em volumes recém-montados e execução de processos de linha de comando com argumentos sugestivos de operações de cópia em massa. Essa detecção é relevante para cenários de ameaça interna e espionagem industrial, onde dispositivos USB são usados para exfiltração física de dados confidenciais contornando controles de rede. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1052-001-exfiltration-over-usb|T1052.001 — Exfiltration over USB]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1410](https://attack.mitre.org/detectionstrategies/DET0511#AN1410)*