# AN0969 — Analytic 0969 ## Descrição Este analítico detecta geração de tráfego em alto volume por processos locais no Windows — como PowerShell, cmd ou curl.exe — resultando em tráfego de saída excessivo em uma janela de tempo curta, correlacionado com uso anormal de recursos do host ou degradação de responsividade. A telemetria utilizada inclui logs de firewall do Windows, contadores de desempenho de rede e eventos de criação de processos, permitindo correlacionar o processo responsável com o volume anômalo de pacotes. A detecção é importante para identificar ataques de negação de serviço originados internamente, botnets DDoS e ferramentas de stress test usadas como distração durante operações de intrusão. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0969](https://attack.mitre.org/detectionstrategies/DET0343#AN0969)*