# AN1512 — Analytic 1512 ## Descrição Detecta processos como `tar`, `curl` ou scripts Python acessando grandes conjuntos de arquivos e iniciando requisições HTTPS POST de saída com tamanhos de payload inconsistentes com a atividade de base em sistemas Linux. A telemetria inclui auditd para rastreamento de acesso a arquivos, análise de fluxo de rede com correlação de sequência de arquivamento seguido de upload criptografado externo e monitoramento de conexões de saída para serviços de armazenamento em nuvem. Esta analítica detecta exfiltração de dados em Linux usando ferramentas nativas combinadas com serviços web legítimos — padrão observado em ataques de espionagem onde grandes volumes de dados são extraídos de servidores comprometidos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1512](https://attack.mitre.org/detectionstrategies/DET0548#AN1512)*