# AN0559 — Analytic 0559 ## Descrição Este analítico detecta execução de ferramentas nativas (como `ipconfig`, `route`, `netsh`) ou consultas PowerShell/WMI para enumerar configuração de IP, MAC, status de interface ou configuração de roteamento no Windows. A telemetria inclui logs de criação de processos do Sysmon (Event ID 1), logs de PowerShell (Event ID 4103, 4104) para consultas WMI de configuração de rede e correlação com o contexto de usuário e temporalidade em relação a outras atividades suspeitas. A enumeração de configuração de rede é um passo fundamental de reconhecimento interno que adversários usam para mapear a topologia da rede e identificar segmentos e gateways antes de movimento lateral. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0559](https://attack.mitre.org/detectionstrategies/DET0195#AN0559)*