# AN0465 — Analytic 0465 ## Descrição Detecta alterações não autorizadas ou anômalas em configurações NAT, incluindo adição de novas regras de tradução ou modificações em existentes, com comportamentos suspeitos como mapeamentos NAT conectando redes segmentadas, novas regras PAT que obscurecem IPs reais de origem ou fluxos de tráfego inconsistentes com o design de rede esperado, correlacionando mudanças de configuração com tráfego atravéssando pares de endereços interno/externo inesperados. A telemetria necessária inclui logs de configuração de roteadores/firewalls via syslog ou SNMP traps, análise de diferença de configuração via ferramentas NCM e monitoramento de NetFlow para detectar fluxos usando novos mapeamentos NAT. Essa detecção é importante porque adversários que comprometem dispositivos de rede podem usar NAT manipulation para criar túneis encobertos entre segmentos de rede isolados ou redirecionar tráfego legítimo para servidores de interceptação controlados pelo atacante. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1599-network-boundary-bridging|T1599 — Network Boundary Bridging]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] --- *Fonte: [MITRE ATT&CK — AN0465](https://attack.mitre.org/detectionstrategies/DET0163#AN0465)*