# AN0823 — Analytic 0823 ## Descrição Esta analítica detecta tentativas suspeitas de envenenamento de DNS/ARP, modificações não autorizadas no registro ou configuração de rede, ou atividade anormal de downgrade de TLS. A telemetria utilizada inclui logs de alterações de configuração do sistema, eventos de rede do Sysmon (Event ID 3, 22) e logs de autenticação para correlacionar mudanças de configuração com fluxos de rede ou eventos de autenticação incomuns subsequentes. Esta detecção importa pois ataques adversary-in-the-middle permitem que atacantes interceptem comúnicações legítimas, capturem credenciais e manipulem respostas de serviço sem que os usuários percebam. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1557-001-llmnr-nbt-ns-poisoning|T1557.001 — LLMNR/NBT-NS Poisoning]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0823](https://attack.mitre.org/detectionstrategies/DET0296#AN0823)*