# AN0407 — Analytic 0407 ## Descrição Detecta modificações em regras de iptables, nftables ou firewalld correlacionadas com quedas repentinas no número de regras ativas e processos suspeitos ativos no momento das alterações. A telemetria necessária inclui eventos auditd para execução de comandos de firewall, logs do systemd/journald para serviços de firewall e monitoramento de chamadas de sistema para modificações de netfilter. Essa detecção apoia a identificação de adversários em Linux que desativam controles de filtragem de rede como preparação para comunicação C2 ou movimentação lateral sem restrições de rede. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0407](https://attack.mitre.org/detectionstrategies/DET0145#AN0407)*