# AN0144 — Analytic 0144 ## Descrição Detecta tráfego de saída excessivo para host remoto via HTTP(S) originado de processos incomuns ou nunca vistos anteriormente no Windows, indicativo de exfiltração de dados ou comunicação C2 volumosa. A telemetria inclui logs de proxy/firewall para monitorar volume de transferência de dados por processo, Sysmon (Event ID 3 para conexão de rede) correlacionado com nome e caminho do processo, e análise de baseline comportamental para identificar processos que não têm histórico de atividade de rede. Este analítico é crítico para detectar exfiltração em larga escala ou beaconing de alto volume, comportamentos observados em estágios finais de ataques de ransomware como LockBit e em campanhas de espionagem com exfiltração massiva de dados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] --- *Fonte: [MITRE ATT&CK — AN0144](https://attack.mitre.org/detectionstrategies/DET0053#AN0144)*