det0242-suspicious-database-access-and-dump-activity-across-environments-t121300

# DET0242 — Suspicious Database Access and Dump Activity Across Environments (T1213.006) ## Descrição Detecta acesso suspeito e atividade de dump em bancos de dados relacionais, NoSQL e plataformas de dados em nuvem. Adversários visam bases de dados para exfiltrar credenciais, dados de clientes e informações estratégicas sensíveis utilizando ferramentas nativas como `mysqldump`, `pg_dump` e utilitários de exportação de cloud. Os indicadores incluem execução de queries de alto volume fora do horário comercial, exportações massivas de tabelas por usuários incomuns e uso de ferramentas de dump a partir de hosts não autorizados. Em ambientes cloud (RDS, Cloud SQL, BigQuery), APIs de snapshot e exportação devem ser monitoradas para uso anômalo. A telemetria necessária abrange logs de auditoria de banco de dados, process creation events com binários de dump, network flows de alta volumetria originados de processos de database e Cloud Trail/CloudWatch Logs para operações de exportação e backup. ## Indicadores de Detecção - Execução de `mysqldump`, `pg_dump`, `mongodump` ou `expdp` por usuários não-DBA - Queries `SELECT *` em múltiplas tabelas críticas em sessão única de curta duração - Criação de snapshots RDS/CloudSQL fora de janelas de backup aprovadas - Transferência de arquivos `.sql`, `.bak` ou `.dump` para destinos externos não mapeados - Acesso a tabelas contendo `password`, `credential`, `token` ou `secret` por usuário de aplicação - Conexões simultâneas ao banco de dados originadas de múltiplos IPs incomuns ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] ## Analytics Relacionadas - [[an0676-analytic-0676|AN0676 — Analytic 0676]] - [[an0677-analytic-0677|AN0677 — Analytic 0677]] - [[an0678-analytic-0678|AN0678 — Analytic 0678]] - [[an0679-analytic-0679|AN0679 — Analytic 0679]] - [[an0680-analytic-0680|AN0680 — Analytic 0680]] --- *Fonte: [MITRE ATT&CK — DET0242](https://attack.mitre.org/detectionstrategies/DET0242)*