det0193-detection-strategy-for-stored-data-manipulation-across-os-platforms

# DET0193 — Detection Strategy for Stored Data Manipulation across OS Platforms ## Descrição Esta estratégia detecta manipulação maliciosa de dados armazenados — mapeada para [[T1565 — Data Manipulation]]. Diferente da destruição de dados, a manipulação visa alterar registros de banco de dados, arquivos de configuração, logs de auditoria ou dados financeiros de forma subtil para causar dano operacional, comprometer integridade de dados ou encobrir atividades maliciosas sem acionar alertas de deleção. A detecção é multi-plataforma e foca em modificações não-autorizadas a dados críticos: alterações em tabelas de banco de dados por usuários fora do fluxo normal de aplicação, modificações em arquivos de configuração do sistema operacional por processos não-esperados, e alterações em registros de auditoria que não correspondem a transações legítimas. Monitoramento de integridade de arquivos (FIM) e auditoria de banco de dados são pilares dessa estratégia. Três analytics endereçam: manipulação de banco de dados (INSERT/UPDATE/DELETE anômalo via SQL audit), modificação de arquivos críticos do sistema (auditoria de escrita em `/etc/passwd`, registros críticos do Windows), e alteração de arquivos de configuração de aplicações por processos não-autorizados. Baseline de comportamento de escrita por usuário/processo é essencial para reduzir falsos positivos. ## Indicadores de Detecção - UPDATE ou DELETE em tabelas críticas de negócio por usuário fora do horário esperado - Modificação de `/etc/passwd`, `/etc/sudoers` ou `/etc/shadow` por processo não-root - Alteração de chaves de registro críticas do Windows por processos não-administrativos - Modificação de arquivos de configuração de aplicação (`.conf`, `.ini`, `.xml`) por processo anômalo - Hash de arquivo de configuração crítico alterado detectado por FIM (File Integrity Monitoring) - Rollback manual de transações de banco de dados seguido de reescrita com valores alterados - Modificação de logs de auditoria do sistema por processo que não é o próprio serviço de log ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an0555-analytic-0555|AN0555 — Analytic 0555]] - [[an0556-analytic-0556|AN0556 — Analytic 0556]] - [[an0557-analytic-0557|AN0557 — Analytic 0557]] --- *Fonte: [MITRE ATT&CK — DET0193](https://attack.mitre.org/detectionstrategies/DET0193)*