# AN0903 — Analytic 0903 ## Descrição Este analytic detecta o uso de comandos ou binários como `netstat`, PowerShell `Get-NetTCPConnection` e chamadas WMI ou API para enumerar conexões de rede locais ou remotas em Windows. A telemetria inclui eventos de criação de processo (Sysmon Event ID 1), logs do PowerShell (Event ID 4103/4104) e dados de chamadas WMI registrados por EDR. A enumeração de conexões de rede é uma etapa fundamental de reconhecimento interno pós-comprometimento, utilizada por adversários para mapear serviços ativos, identificar alvos de movimento lateral e descobrir potenciais caminhos de exfiltração de dados. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] --- *Fonte: [MITRE ATT&CK — AN0903](https://attack.mitre.org/detectionstrategies/DET0320#AN0903)*