# AN1531 — Analytic 1531 ## Descrição Este analítico detecta processos não interativos ou suspeitos que acessam interfaces Bluetooth no Windows e transmitem tráfego de saída após atividade de acesso ou staging de arquivos, indicando possível exfiltração de dados via canal Bluetooth. A telemetria inclui eventos de criação de processo do EDR, logs de dispositivos USB/HID do Windows (Device Manager e Event Log), e dados de fluxo de rede que correlacionam acesso a arquivos com transmissão via interface Bluetooth. A detecção é importante pois canais alternativos como Bluetooth são utilizados por adversários para bypass de controles de DLP e firewalls em ambientes de alta segurança. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1011-001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1531](https://attack.mitre.org/detectionstrategies/DET0554#AN1531)*