# AN0751 — Analytic 0751 ## Descrição Esta analítica detecta em Linux sessões SSH originadas de um novo endereço IP de origem seguidas de shell interativo ou escalada de privilégios (ex: sudo, su) e conexão lateral de saída. A telemetria inclui logs de autenticação SSH (/var/log/auth.log ou journald), auditd para syscalls de execução de processos e logs de rede para conexões SSH de saída a outros sistemas. A detecção é crítica para identificar movimento lateral em redes Linux, especialmente em infraestruturas de servidores onde o SSH é o principal vetor de administração remota. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0751](https://attack.mitre.org/detectionstrategies/DET0269#AN0751)*