# AN0030 — Analytic 0030 ## Descrição Detecta processos gerando grandes conexões de saída com razões desproporcionais de envio/recebimento, frequentemente para portas ou hosts incomuns, potencialmente inserindo dados sem sentido em payloads de protocolo como técnica de evasão e exfiltração encoberta. A telemetria inclui dados de fluxo de rede (NetFlow, Zeek), logs de proxy web e análise de tamanho de pacotes que identificam assimetrias de tráfego inconsistentes com comúnicações legítimas de aplicações. Esse analítico é relevante para detectar canais de exfiltração de dados que utilizam técnicas de junk data para frustrar inspeção de conteúdo e análise de anomalias baseada em volume. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1030-data-transfer-size-limits|T1030 — Data Transfer Size Limits]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0030](https://attack.mitre.org/detectionstrategies/DET0011#AN0030)*