# AN0513 — Analytic 0513 ## Descrição Este analítico detecta enumeração de compartilhamentos de rede no Windows via CLI (`net view`, `net share`, `Get-SmbShare` via PowerShell) ou APIs do OS (NetShareEnum/srvsvc.NetShareEnumAll RPC), identificando explosões de conexões SMB/RPC de saída (portas 445/139) para muitos hosts dentro de um curto período, seguidas opcionalmente de operações de listagem ou cópia de arquivos. A telemetria inclui logs de criação de processos do Sysmon, captura de tráfego de rede via Zeek filtrando eventos SMB, e logs de auditoria de acesso a compartilhamentos (Event ID 5140, 5142). Essa técnica de reconhecimento é frequentemente usada antes de movimento lateral via SMB ou distribuição de ransomware pela rede. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0513](https://attack.mitre.org/detectionstrategies/DET0182#AN0513)*