# AN1571 — Analytic 1571 ## Descrição Este analítico detecta processos incomuns como `powershell.exe` ou `excel.exe` acessando arquivos locais de grande porte e subsequentemente iniciando requisições HTTPS POST para domínios associados a serviços de armazenamento em nuvem como Dropbox, Google Drive ou Box, com correlação entre leituras de arquivo em diretórios sensíveis e alto volume de tráfego de saída para APIs de armazenamento conhecidas. A telemetria combina eventos de acesso a arquivo do EDR, logs de proxy/firewall que capturam destinos de conexão HTTPS e volumes de dados transferidos, e events de criação de processo que mostram o processo responsável pela exfiltração. A relevância para detecção é alta pois a exfiltração via serviços legítimos de armazenamento em nuvem é amplamente utilizada por adversários para misturar o tráfego malicioso com tráfego corporativo legítimo, dificultando bloqueio por reputação de domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1571](https://attack.mitre.org/detectionstrategies/DET0570#AN1571)*