# AN0972 — Analytic 0972 ## Descrição Este analítico detecta instâncias de VM ou cloud que geram egresso de rede anomalamente alto em direção a um mesmo IP ou serviço de destino, especialmente usando protocolos sem estado como UDP ou ICMP. A telemetria utilizada inclui VPC Flow Logs (AWS/GCP/Azure), métricas de CloudWatch ou Azure Monitor e logs de firewall de rede, correlacionando picos de tráfego de saída com identidade da instância e período de tempo. A detecção é fundamental para identificar instâncias cloud comprometidas participando de ataques DDoS volumétricos, uma ameaça crescente dado o potencial de escalonamento elástico da infraestrutura cloud para amplificar o impacto do ataque. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1499-endpoint-denial-of-service|T1499 — Endpoint Denial of Service]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0972](https://attack.mitre.org/detectionstrategies/DET0343#AN0972)*