# AN0489 — Analytic 0489 ## Descrição Este analítico detecta flood de requisições de serviços (HTTP, renegociação TLS) de alta frequência originadas de um único IP ou conjunto pequeno de IPs contra serviços web ou portas de aplicação em endpoints Windows, resultando em exaustão de CPU ou memória. A telemetria utilizada inclui logs de firewall de host, contadores de performance do Windows, registros de IIS/Apache e logs de eventos de aplicação indicando esgotamento de recursos. Essa detecção é relevante para identificar ataques de negação de serviço direcionados a serviços Windows específicos, diferenciando-os de picos de tráfego legítimos através de análise de taxa e origem. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0489](https://attack.mitre.org/detectionstrategies/DET0173#AN0489)*