# AN0596 — Analytic 0596 ## Descrição Este analítico detecta processos que estabelecem conexões de saída transmitindo pacotes de tamanho uniforme em intervalos consistentes, evitando alertas de rede baseados em limiar de volume — padrão clássico de beaconing de C2. A telemetria inclui logs de fluxo de rede (NetFlow, Zeek), registros de proxy de saída com análise de tamanho de payload e frequência, e detecção de padrões temporais via análise de séries temporais em logs de firewall de próxima geração. Essa detecção é fundamental pois o beaconing periódico é a base de comunicação da maioria dos implantes e RATs modernos, e a uniformidade de tamanho e intervalo de pacotes é um artefato caracterizável que diferencia comunicação C2 de tráfego legítimo. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] --- *Fonte: [MITRE ATT&CK — AN0596](https://attack.mitre.org/detectionstrategies/DET0213#AN0596)*