# AN0759 — Analytic 0759 ## Descrição Esta analítica detecta processos que normalmente não iniciam conexões de rede estabelecendo sessões TLS/SSL de saída cifradas, especialmente com volumes de tráfego assimétricos ou cadeias de certificados não padrão em Windows. A telemetria inclui Sysmon Event ID 3 (conexão de rede), Event ID 7 (carregamento de módulo para bibliotecas SSL) e análise de tráfego de rede com inspeção TLS. A detecção é relevante porque o uso de criptografia por processos não esperados é uma forte indicação de C2 cifrado tentando se camuflar como tráfego legítimo HTTPS. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] --- *Fonte: [MITRE ATT&CK — AN0759](https://attack.mitre.org/detectionstrategies/DET0273#AN0759)*