# AN1169 — Analytic 1169 ## Descrição Detecta tráfego FTP, SMB ou TFTP iniciado por processos suspeitos como PowerShell, cmd.exe ou rundll32.exe, especialmente com grandes transferências de arquivos de saída ou volume de tráfego desequilibrado. A telemetria inclui logs de firewall do Windows, Sysmon (Event IDs 3 para conexões de rede, 11 para criação de arquivos) e monitoramento de processos para correlacionar o processo iniciador com o destino da transferência e volume de dados. Esse analítico é fundamental para detecção de exfiltração porque adversários frequentemente utilizam protocolos de transferência de arquivo nativos para mover dados coletados para fora da rede sem levantar suspeita inicial. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1169](https://attack.mitre.org/detectionstrategies/DET0416#AN1169)*