det0358-programmatic-and-excessive-access-to-confluence-documentation

# DET0358 — Programmatic and Excessive Access to Confluence Documentation ## Descrição Plataformas de documentação colaborativa como Confluence são alvos de alto valor para adversários em busca de informações sensíveis: credenciais armazenadas em páginas, diagramas de arquitetura, chaves de API, runbooks operacionais e dados sobre clientes. Após obter acesso inicial com credenciais válidas ou explorar vulnerabilidades (como [[cve-2023-22515|CVE-2023-22515]] e [[cve-2022-26134|CVE-2022-26134]]), atacantes realizam coleta sistemática de conteúdo via API REST para extrair documentação em escala. O acesso programático e excessivo se manifesta por padrões anômalos: altas taxas de requisições à API `/rest/api/content`, acesso a espaços não relacionados às funções habituais do usuário, downloads em massa de páginas e anexos em curto intervalo, ou uso de tokens de acesso pessoal (PAT) fora do horário comercial. Grupos como [[g0045-apt10|APT10]] e operadores de ransomware utilizam essa técnica para coletar inteligência operacional antes de movimentação lateral. A detecção eficaz requer correlação entre logs de acesso do Confluence, telemetria de autenticação e análise de anomalias comportamentais por usuário (UEBA). Alertas devem ser configurados para volume de requisições acima de limiares definidos por baseline de cada conta, bem como acesso a espaços marcados como sensíveis. ## Indicadores de Detecção - Taxa de requisições à API Confluence acima de 100 páginas/hora por usuário individual - Acesso a espaços Confluence não acessados nos últimos 90 dias por determinada conta - Download de anexos (PDFs, planilhas) em volume acima do baseline do usuário em mais de 3 desvios padrão - Uso de PAT (Personal Access Token) fora do horário de trabalho habitual - User-Agent incomum nas requisições à API REST do Confluence (scripts Python, curl, ferramentas de scraping) - Acesso sequencial a múltiplos espaços em menos de 10 minutos (enumeração de espaços) ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[T1213002-sharepoint|T1213.002 — Confluence]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1119-automated-collection|T1119 — Automated Collection]] ## Analytics Relacionadas - [[an1019-analytic-1019|AN1019 — Analytic 1019]] --- *Fonte: [MITRE ATT&CK — DET0358](https://attack.mitre.org/detectionstrategies/DET0358)*