# AN0728 — Analytic 0728 ## Descrição Esta analítica detecta conexões de saída para portas calculadas a partir de respostas DNS em Windows, correlacionando logs DNS do Sysmon (Event ID 22) com criação de processos e atividade de sockets. A telemetria inclui logs de DNS do Windows, eventos de rede do Sysmon (Event ID 3) e dados de fluxo de rede coletados pelo EDR ou firewall de host. A detecção é relevante porque técnicas de C2 que derivam portas de respostas DNS são um mecanismo sofisticado de evasão de detecção baseada em assinatura. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1008-fallback-channels|T1008 — Fallback Channels]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0728](https://attack.mitre.org/detectionstrategies/DET0262#AN0728)*