# AN1015 — Analytic 1015 ## Descrição Este analítico detecta a execução de utilitários de teste de conectividade com Internet no Windows — como `ping`, `tracert`, ou `Test-NetConnection` — por processos não interativos ou com contexto parental suspeito, indicando verificação de conectividade por código malicioso após comprometimento inicial. A telemetria utilizada inclui eventos de criação de processos (Sysmon EID 1 / EID 4688) e eventos de rede (Sysmon EID 3) monitorando execução dessas ferramentas por processos que não deveriam realizar chamadas de rede, como serviços ou processos em background. A detecção é importante porque verificação de conectividade de rede é frequentemente a primeira ação realizada por malware após execução, para confirmar acesso à internet antes de estabelecer comunicação C2. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1015](https://attack.mitre.org/detectionstrategies/DET0357#AN1015)*