Il monitoraggio dell'esportazione dei dati è il rilevamento di copie, download o estrazioni insolite di informazioni dai sistemi interni. Cerca segnali che indicano che un utente, un servizio o un attaccante stia spostando dati fuori da un database, da una condivisione file, da un'applicazione o da un ambiente cloud in un modo che non corrisponde alla normale attività aziendale.
Questo controllo è importante perché molte violazioni non vengono fermate alla schermata di accesso. Se un attaccante usa un account valido, potrebbe eseguire in modo discreto query sui record, scaricare report in blocco o esportare dati dei clienti prima che i difensori se ne accorgano. Il monitoraggio può segnalare trasferimenti di grandi dimensioni, esportazioni ripetute, accessi a tabelle sensibili o attività da una posizione o un orario insoliti. I team di sicurezza usano questi avvisi per indagare sull'abuso di credenziali, limitare la perdita di dati e attivare azioni di risposta come la sospensione dell'account, la revoca della sessione o il rate limiting. Un monitoraggio efficace delle esportazioni funziona meglio con il privilegio minimo, la registrazione dei log e soglie di allerta tarate sui dati che un utente dovrebbe gestire normalmente.