# AN0878 — Analytic 0878 ## Descrição Esta analítica detecta a criação de sessões de espelhamento de tráfego (como AWS VPC Traffic Mirroring ou Azure vTAP) que redirecionam tráfego de ativos críticos para outras instâncias virtuais, frequentemente seguida de criação de arquivos ou estabelecimento de sessão. A telemetria utilizada inclui CloudTrail e Azure Monitor para eventos de criação de configurações de Traffic Mirroring e vTAP, correlacionando criações feitas por contas incomuns ou fora de janelas de mudança aprovadas. Esta detecção é crítica em ambientes cloud, onde o espelhamento de tráfego pode permitir que adversários interceptem passivamente todo o tráfego de rede de ambientes produtivos sem alertar as instâncias-alvo sobre a captura em andamento. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0878](https://attack.mitre.org/detectionstrategies/DET0314#AN0878)*