# AN1151 — Analytic 1151 ## Descrição Inspeciona telemetria de rede em busca de tentativas adversariais de misturar tráfego malicioso com fluxos legítimos usando VPNs, proxies ou spoofing de geolocalização, com foco em túneis anômalos, sessões criptografadas para domínios suspeitos ou atividade IP com inconsistência geográfica. A telemetria inclui logs de fluxo de rede (NetFlow/IPFIX), logs de dispositivos de rede, dados de geolocalização de IP e threat intel feeds para correlacionar padrões de tráfego suspeitos com contexto de identidade. Essa detecção é fundamental porque técnicas de mascaramento de infraestrutura são amplamente utilizadas por APTs para manter anonimato durante operações de longa duração. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] --- *Fonte: [MITRE ATT&CK — AN1151](https://attack.mitre.org/detectionstrategies/DET0411#AN1151)*