det0500-detecting-abnormal-sharepoint-data-mining-by-privileged-or-rare-users

# DET0500 — Detecting Abnormal SharePoint Data Mining by Privileged or Rare Users ## Descrição A mineração de dados no SharePoint por usuários privilegiados ou de acesso incomum é uma técnica de coleta de dados usada por adversários que comprometeram contas com amplos privilégios em ambientes Microsoft 365/SharePoint Online. Uma vez com acesso privilegiado, adversários sistematicamente percorrem sites, bibliotecas e documentos para identificar e exportar informações sensíveis como dados financeiros, propriedade intelectual, informações de clientes e credenciais armazenadas em documentos. Essa técnica está associada a [[T1213.002-data-from-information-repositories-sharepoint|T1213.002 — SharePoint]] no MITRE ATT&CK. Grupos APT como [[g0016-apt29|APT29]] e atores de espionagem corporativa documentadamente utilizam SharePoint como fonte primária de dados de inteligência após comprometer ambientes Microsoft 365. A abordagem de mineração massiva de dados — acessar centenas ou milhares de documentos em curto período — é comportamentalmente distinta do uso legítimo, mesmo quando realizada por contas com acesso válido. Usuários raros (que raramente acessam o SharePoint) exibindo acesso extenso são especialmente suspeitos. A detecção requer análise dos Unified Audit Logs do Microsoft 365, específicamente eventos de acesso a arquivos (`FileAccessed`, `FileDownloaded`) no SharePoint Online. A análise de anomalias comportamentais — volume de arquivos acessados, diversidade de sites visitados, horário de acesso — comparada ao baseline do usuário e de peers similares é a abordagem mais eficaz para identificar mineração maliciosa de dados. ## Indicadores de Detecção - Usuário acessando volume de arquivos SharePoint significativamente acima do seu percentil histórico (ex: >10x baseline) - Conta privilegiada (administrador global, site admin) acessando sites SharePoint que raramente visita - Download massivo de arquivos de múltiplas bibliotecas SharePoint em sessão única (>50 arquivos em 1 hora) - Acesso a SharePoint a partir de IP não corporativo por conta de administrador fora do horário de trabalho - Usuário "raro" (< 5 acessos nos últimos 90 dias) subitamente acessando centenas de documentos - Uso de Microsoft Graph API para acesso programático a arquivos SharePoint por aplicativo não aprovado - Export de dados via SharePoint "Get-PnPFile" ou equivalente por conta de usuário (não service account) ## Técnicas Relacionadas - [[T1213.002-data-from-information-repositories-sharepoint|T1213.002 — SharePoint]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] ## Analytics Relacionadas - [[an1380-analytic-1380|AN1380 — Analytic 1380]] --- *Fonte: [MITRE ATT&CK — DET0500](https://attack.mitre.org/detectionstrategies/DET0500)*