# AN1228 — Analytic 1228 ## Descrição Detecta tunelamento na camada de aplicação ou protocolos não autorizados como DNS-over-HTTPS, C2 embutido em cabeçalhos TLS/HTTP, ou tráfego SMB indevido cruzando VLANs em dispositivos de rede. A telemetria inclui logs de firewall de próxima geração, dados de inspeção profunda de pacotes (DPI) e análise de padrões de tráfego entre segmentos de rede. Essa análise é crucial para detectar adversários que encapsulam comúnicações maliciosas dentro de protocolos legítimos para contornar controles de filtragem de rede. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071.004-dns|T1071.004 — DNS]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] --- *Fonte: [MITRE ATT&CK — AN1228](https://attack.mitre.org/detectionstrategies/DET0444#AN1228)*