# AN1091 — Analytic 1091 ## Descrição Este analítico detecta tráfego ARP anômalo ou modificações no cache ARP em endpoints Windows que indicam envenenamento ARP. O foco comportamental é em múltiplos endereços IP resolvendo para um único MAC, ou respostas ARP não solicitadas de dispositivos não autorizados. Utiliza telemetria de captura de pacotes de rede (pcap), monitoramento de tabela ARP do Windows e correlação com netflow para identificar padrões de ARP spoofing. A detecção é crítica para identificar ataques adversário-no-meio em redes locais, onde atacantes interceptam e manipulam tráfego entre endpoints Windows e gateways de rede. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1091](https://attack.mitre.org/detectionstrategies/DET0387#AN1091)*