# AN0461 — Analytic 0461 ## Descrição Detecta cadeia de reconhecimento de política de senha em dispositivos de rede: sessões CLI privilegiadas executando comandos somente-leitura que dumpeiam políticas AAA/senha (`show aaa`, `show password-policy`) seguidas, pelo mesmo account, de mudanças na AAA ou banco de usuários logo após. A telemetria necessária inclui contabilização de comandos AAA/TACACS+ ou syslog de rede para rastrear sequência de comandos por usuário, com alertas para padrões de leitura de política seguidos de modificação de autenticação em sessão contígua. Essa detecção é importante em infraestrutura de redes críticas, onde adversários que comprometem dispositivos de rede realizam reconhecimento de políticas de senha antes de criar backdoors de autenticação ou rebaixar a segurança de acesso para facilitar reentrada futura. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] --- *Fonte: [MITRE ATT&CK — AN0461](https://attack.mitre.org/detectionstrategies/DET0161#AN0461)*