det0413-abuse-of-information-repositories-for-data-collection

# DET0413 — Abuse of Information Repositories for Data Collection ## Descrição Repositórios corporativos de informação — wikis internos (Confluence, SharePoint), sistemas de ticketing (Jira, ServiceNow), repositórios de código (GitLab, GitHub Enterprise) e bases de conhecimento — contêm dados extremamente valiosos: documentação de arquitetura, credenciais compartilhadas, procedimentos operacionais, dados de clientes e propriedade intelectual. Adversários exploram esses sistemas usando credenciais legítimas comprometidas para coletar dados em massa antes da exfiltração. A detecção foca em padrões anômalos de acesso a esses sistemas: downloads em massa de páginas do Confluence, exportação de repositórios Git completos por usuários sem histórico de tal operação, ou acesso a espaços do SharePoint não relacionados à função do usuário. Logs de auditoria nativos dessas plataformas (Confluence audit log, GitLab security events, SharePoint ULS) são as fontes primárias. O caso do comprometimento da [[solarwinds-supply-chain]] demonstrou como acesso a repositórios internos pode fornecer contexto crítico para ataques subsequentes. Atores como [[lapsus-dollar]] exfiltraram código-fonte e segredos de repositórios corporativos como tática central. A implementação de DLP integrado a essas plataformas, combinada com análise comportamental de acesso, é fundamental para detecção precoce. ## Indicadores de Detecção - Download/exportação em massa de repositórios Git (clone de todos os repos) por conta recém-comprometida - Acesso a espaços do Confluence ou SharePoint de múltiplos departamentos em curto intervalo - Queries de busca em wikis com termos relacionados a credenciais ("password", "senha", "token", "api_key") - Exportação em massa de tickets do Jira ou ServiceNow com filtros amplos por usuário sem histórico - Acessos de API a repositórios de código usando tokens com escopos excessivos em horários atípicos ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[T1213001-confluence|T1213.001 — Confluence]] - [[T1213002-sharepoint|T1213.002 — Sharepoint]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] ## Analytics Relacionadas - [[an1160-analytic-1160|AN1160 — Analytic 1160]] - [[an1161-analytic-1161|AN1161 — Analytic 1161]] - [[an1162-analytic-1162|AN1162 — Analytic 1162]] - [[an1163-analytic-1163|AN1163 — Analytic 1163]] --- *Fonte: [MITRE ATT&CK — DET0413](https://attack.mitre.org/detectionstrategies/DET0413)*