# AN0327 — Analytic 0327 ## Descrição Correlaciona acesso de rede de entrada a portas de serviços remotos (SMB/RPC 445/135, RDP 3389, WinRM 5985/5986) com instabilidade subsequente do serviço alvo — como travamentos, reinicializações anormais ou criação de processos filhos suspeitos —, indicando provável exploração em vez de administração legítima. A telemetria empregada combina logs de firewall, eventos de rede, logs de aplicações e dados de criação de processos do endpoint (Sysmon Event ID 1, 3). Essa analítica é crítica para detectar exploração de serviços remotos, técnica preferida por grupos APT e operadores de ransomware para acesso inicial e movimento lateral. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1210-exploitation-of-remote-services|T1210 — Exploitation of Remote Services]] - [[t1133-external-remote-services|T1133 — External Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0327](https://attack.mitre.org/detectionstrategies/DET0118#AN0327)*