# AN0136 — Analytic 0136 ## Descrição Detecta modificações de regras de firewall ou reset de logs e tabelas de conexão em dispositivos de rede (roteadores, switches, appliances VPN), como execução de clear logging, erase startup-config ou write erase após atividade de acesso remoto. A telemetria inclui logs de syslog de dispositivos de rede para rastrear execução desses comandos destrutivos, registros TACACS+/RADIUS para correlacionar com a identidade do usuário que executou os comandos, e análise temporal de quando essas operações ocorrem em relação a sessões de acesso remoto suspeitas. Este analítico é crítico para detectar operações de cobertura de rastros em infraestrutura de rede, observadas em campanhas de grupos como Volt Typhoon e Salt Typhoon que comprometem dispositivos de rede de longa duração. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0136](https://attack.mitre.org/detectionstrategies/DET0049#AN0136)*