# AN0855 — Analytic 0855 ## Descrição Esta analítica detecta alterações de configuração em firewalls ou appliances de rede envolvendo criação, modificação ou exclusão de regras a partir de IPs de gerenciamento anômalos ou canais não-console (CLI remota, API). Essas alterações são frequentemente correlacionadas com spike de tráfego de saída anteriormente bloqueado, regras de allow-all inesperadas ou exclusões em massa de regras. A telemetria utilizada inclui logs de configuração do dispositivo (Syslog/SNMP) e logs AAA para contextualizar o acesso que precedeu as alterações. Esta detecção é crítica para identificar adversários que comprometeram credenciais de gerenciamento de rede e estão modificando o perímetro de segurança para criar caminhos de exfiltração ou facilitar acesso futuro. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0855](https://attack.mitre.org/detectionstrategies/DET0306#AN0855)*