# AN1225 — Analytic 1225 ## Descrição Detecta uso suspeito de protocolos comuns da camada de aplicação (HTTP, HTTPS, DNS, SMB) por processos anômalos, com contagens elevadas de bytes de saída ou portas irregulares, possívelmente indicando comando e controle (C2) ou exfiltração de dados. A telemetria inclui logs de firewall e proxy, eventos de conexão de rede correlacionados com processos específicos e análise de padrões de tráfego por volume e frequência. Essa análise é crítica para detectar implantes que utilizam protocolos legítimos para se misturar ao tráfego corporativo normal. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1071.001-web-protocols|T1071.001 — Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1225](https://attack.mitre.org/detectionstrategies/DET0444#AN1225)*