# AN1118 — Analytic 1118 ## Descrição Este analítico detecta exfiltração de rede recorrente iniciada por processos agendados ou baseados em script, exibindo regularidade temporal e destinos externos consistentes. Utiliza telemetria de netflow, Sysmon (Event ID 3) e análise de padrões de conexão para identificar transferências de rede com assinatura temporal regular, indicativa de exfiltração automatizada. A detecção é importante porque a regularidade temporal é um diferencial fundamental entre exfiltração automatizada maliciosa e tráfego legítimo de aplicações, permitindo identificar canais de exfiltração de dados mesmo quando o volume individual de transferência é pequeno. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1118](https://attack.mitre.org/detectionstrategies/DET0399#AN1118)*