# AN0099 — Analytic 0099 ## Descrição Monitora a execução baseada em CLI do comando show process (e equivalentes) em roteadores e switches, correlacionando acesso incomum a dispositivos, funções não autorizadas ou mudanças no modo de configuração. A telemetria inclui logs de syslog dos dispositivos de rede, registros de sessão TACACS+/RADIUS para autenticação e autorização, e logs de comandos executados (quando habilitado via AAA). Este analítico é relevante porque adversários que comprometem dispositivos de rede realizam enumeração de processos para identificar software de monitoramento ou serviços que possam detectá-los, como observado em campanhas atribuídas a grupos como Volt Typhoon. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0099](https://attack.mitre.org/detectionstrategies/DET0034#AN0099)*