# AN0627 — Analytic 0627 ## Descrição Este analítico detecta ferramentas centrais de gerenciamento de roteadores ou switches (como FortiManager ou Cisco Prime) acionando reinicializações de dispositivos ou pushes de configuração usando contas ou endereços IP anômalos que não correspondem ao perfil esperado de administradores de rede. A telemetria inclui logs de auditoria das plataformas de gerenciamento de rede, syslog dos dispositivos gerenciados registrando eventos de mudança de configuração e alertas de SIEM para operações de reboot ou push de configuração em lote fora de janelas de manutenção aprovadas. Essa detecção é crítica pois o comprometimento de plataformas centralizadas de gerenciamento de rede como FortiManager (alvo de CVE-2024-47575 explorado pelo grupo UNC5820) permite que adversários alterem configurações de toda a infraestrutura de rede, criando backdoors, desativando controles de segurança ou preparando ataques de negação de serviço. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0627](https://attack.mitre.org/detectionstrategies/DET0223#AN0627)*