# AN0879 — Analytic 0879 ## Descrição Esta analítica detecta a execução de comandos de captura via CLI em equipamentos de rede Cisco/Juniper/Arista (`monitor capture`, `debug packet`, etc.) ou acesso CLI não autorizado seguido de alterações na configuração de logging. A telemetria utilizada inclui logs AAA (RADIUS/TACACS+) e syslog dos equipamentos para monitorar comandos CLI de captura de tráfego executados por contas incomuns ou fora de janelas de manutenção. Esta detecção é relevante para identificar comprometimento de equipamentos de rede de telecomúnicações onde adversários usam capacidades nativas de captura de hardware para interceptar tráfego em escala sem precisar de ferramentas externas, evitando detecção por soluções de segurança convencionais. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0879](https://attack.mitre.org/detectionstrategies/DET0314#AN0879)*