# AN0446 — Analytic 0446 ## Descrição Detecta hardware USB de acesso remoto (como TinyPilot ou PiKVM) conectado ao host via enumeração de drive ou periférico, identificando identificadores de vendor suspeitos ou anúncios EDID incomuns que não correspondem a periféricos aprovados. A telemetria necessária inclui logs de eventos Windows para conexão de dispositivos USB (Event IDs 2003, 2004, 2010), inventário de hardware via WMI e comparação de IDs de vendor USB contra uma lista de permitidos da organização. Essa detecção é relevante para operações de segurança física e Red Team, onde dispositivos de acesso remoto por hardware são inseridos fisicamente para obter controle persistente de sistemas air-gapped ou com acesso restrito à rede. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1200-hardware-additions|T1200 — Hardware Additions]] - [[t1091-replication-through-removable-media|T1091 — Replication Through Removable Media]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] --- *Fonte: [MITRE ATT&CK — AN0446](https://attack.mitre.org/detectionstrategies/DET0159#AN0446)*