# AN0005 — Analytic 0005 ## Descrição Detecta tráfego pub/sub em portas incomuns, altas taxas de públicação em tópicos e conexões a endpoints de brokers dinâmicos ou com reputação negativa fora da infraestrutura autorizada. A telemetria principal provém de logs de fluxo de rede (NetFlow/IPFIX), inspeção profunda de pacotes (DPI) e análise de anomalias de protocolo em dispositivos de borda. Este analítico é valioso para identificar canais de exfiltração ou C2 que exploram protocolos de IoT em infraestrutura de rede corporativa onde o tráfego MQTT/AMQP não é esperado. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] --- *Fonte: [MITRE ATT&CK — AN0005](https://attack.mitre.org/detectionstrategies/DET0002#AN0005)*