# AN1057 — Analytic 1057 ## Descrição Este analítico detecta processos que realizam enumeração de rede (como varreduras de porta e probing de serviços) correlacionando criação de processos, conexões de socket e sondagem sequencial de IPs de destino dentro de uma janela de tempo. Utiliza telemetria de logs de eventos do Windows (Sysmon Event ID 3), netflow e análise de padrões de conexão para identificar comportamento de scanning interno. A detecção é fundamental para identificar movimentação lateral em estágio inicial, onde adversários mapeiam a rede interna após o comprometimento inicial. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1135-network-share-discovery|T1135 — Network Share Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1057](https://attack.mitre.org/detectionstrategies/DET0376#AN1057)*