# AN0514 — Analytic 0514 ## Descrição Este analítico detecta enumeração de compartilhamentos SMB no Linux através de ferramentas como `smbclient -L`, `smbmap`, `rpcclient` ou `nmblookup` usadas para enumerar compartilhamentos em múltiplos hosts internos, com as conexões SMB correspondentes (portas 445/139) capturadas por Zeek ou Netflow dentro de uma janela de tempo curta. A telemetria inclui eventos auditd para execuções dessas ferramentas, logs de rede Zeek com eventos de protocolo SMB e dados de fluxo de rede indicando varreduras de múltiplos hosts. O reconhecimento de compartilhamentos SMB em Linux é comum em ataques heterogêneos que combinam sistemas Linux e Windows na mesma rede corporativa. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] --- *Fonte: [MITRE ATT&CK — AN0514](https://attack.mitre.org/detectionstrategies/DET0182#AN0514)*