# AN0257 — Analytic 0257 ## Descrição Esta analítica detecta a execução de comandos CLI como `show users`, `show ssh` ou tentativas de dump de listas de usuários AAA a partir de roteadores ou switches. A telemetria é obtida via logs de sessões de CLI capturados pelo SIEM, syslog de dispositivos de rede e alertas de violação de política AAA. A detecção é relevante pois a enumeração de usuários em dispositivos de rede é indicador de comprometimento do plano de gerenciamento, frequentemente observado em operações de grupos APT com foco em infraestrutura crítica. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0257](https://attack.mitre.org/detectionstrategies/DET0093#AN0257)*