# AN1132 — Analytic 1132 ## Descrição Detecta sessões de espelhamento não autorizadas iniciadas em roteadores e switches (por exemplo, via `monitor session` ou `mirror port`), combinadas com tráfego de saída da interface espelhada para destinos inesperados. A telemetria utilizada inclui logs de configuração de dispositivos de rede (Syslog, SNMP traps), registros de sessões SPAN/RSPAN e alertas de destinos de tráfego anômalos. A detecção precoce dessas sessões é essencial porque o espelhamento de portas em dispositivos de rede pode capturar todo o tráfego corporativo em trânsito, viabilizando reconhecimento passivo de alta fidelidade. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN1132](https://attack.mitre.org/detectionstrategies/DET0403#AN1132)*