# AN0560 — Analytic 0560 ## Descrição Este analítico detecta execução de `ifconfig`, `ip a` ou acesso a `/proc/net/` indicando coleta de configuração de interface local e rotas no Linux. A telemetria inclui auditd para syscalls de abertura de arquivos em `/proc/net/`, execuções de `ifconfig` e `ip` com contexto de usuário, e correlação de temporalidade com outras atividades de reconhecimento no mesmo host. Em sistemas Linux, o acesso programático a `/proc/net/` por scripts ou processos não-administrativos é um indicador mais sensível que a execução de comandos interativos, pois revela automação de reconhecimento típica de implantes de malware. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0560](https://attack.mitre.org/detectionstrategies/DET0195#AN0560)*