# AN0410 — Analytic 0410 ## Descrição Detecta alterações em ACLs ou regras de firewall em dispositivos de rede via CLI (como `no access-list` ou `permit any any`), monitorando commits de configuração oriundos de usuários ou sessões incomuns. A telemetria necessária inclui logs de contabilização AAA/TACACS+, syslog de dispositivos de rede e sistemas de gerenciamento de configuração de rede (NCM) que rastreiam alterações de ACL. Essa detecção é fundamental para redes empresariais, pois adversários que comprometem roteadores e switches frequentemente relaxam regras de ACL para abrir caminhos de comunicação entre segmentos de rede que deveriam estar isolados. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0410](https://attack.mitre.org/detectionstrategies/DET0145#AN0410)*