# AN0702 — Analytic 0702 ## Descrição Monitora anomalias em streams de dados transmitidos, incluindo verificações de integridade de arquivo inconsistentes, interceptação de API ou modificações man-in-the-middle, detectando uso inesperado de APIs que manipulam I/O de rede onde a integridade dos dados transmitidos pode ser alterada. A telemetria inclui logs de auditoria de chamadas de API do Windows, Sysmon (Event ID 3 — Network Connection) e ferramentas de inspeção de tráfego de rede que identificam processos que interceptam ou modificam dados em trânsito via hooks de WinSock ou manipulação de certificados TLS. Essa analítica é importante para detectar ataques adversary-in-the-middle em ambientes Windows onde adversários comprometem a integridade de comúnicações TLS para injetar código ou exfiltrar dados de forma encoberta. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] --- *Fonte: [MITRE ATT&CK — AN0702](https://attack.mitre.org/detectionstrategies/DET0254#AN0702)*