# AN0399 — Analytic 0399 ## Descrição Detecta uso não autorizado ou anômalo de interfaces de linha de comando (CLI) em dispositivos de rede, com foco em sessões de acesso remoto (SSH/Telnet), escalação de privilégio dentro de sessões CLI, execução de comandos de alto risco (`config replace`, `terminal monitor`, `no logging`) e alterações de configuração fora de janelas de mudança aprovadas. A telemetria inclui logs de dispositivos de rede via TACACS+/RADIUS, syslog e comparação de configuração com baselines aprovados. Essa analítica é crítica para segurança de infraestrutura de rede porque acesso CLI não autorizado a roteadores e switches pode levar a configurações maliciosas, exfiltração de tráfego e desativação de controles de segurança de rede inteira. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0399](https://attack.mitre.org/detectionstrategies/DET0142#AN0399)*