# AN0763 — Analytic 0763 ## Descrição Esta analítica detecta túneis TLS incomuns em portas normalmente não cifradas (ex: TLS na porta 8080 ou 53), com o defensor observando dados NetFlow/IPFIX ou inspeção de pacotes indicando volumes de tráfego de alta entropia e razões assimétricas de troca cliente/servidor. A telemetria inclui dados NetFlow/IPFIX de dispositivos de rede, inspeção profunda de pacotes (DPI) e análise de anomalias de protocolo via IDS como Suricata ou Snort. A detecção é relevante para identificar C2 over DNS-over-TLS ou HTTPS em portas não padrão, técnicas frequentemente usadas por grupos APT para túneis de comunicação furtivos. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071-004-dns|T1071.004 — DNS]] - [[t1001-data-obfuscation|T1001 — Data Obfuscation]] --- *Fonte: [MITRE ATT&CK — AN0763](https://attack.mitre.org/detectionstrategies/DET0273#AN0763)*