# AN1413 — Analytic 1413 ## Descrição Detecta processos não relacionados a navegadores que estabelecem conexões de saída criptografadas (TLS/SSL) para destinos desconhecidos ou atípicos para o host ou usuário, especialmente após eventos de staging ou compressão de dados. A telemetria correlaciona eventos de criação de conexão de rede, processos de origem não esperados para tráfego HTTPS e eventos anteriores de acesso a arquivos sensíveis ou criação de arquivos comprimidos. Essa detecção é fundamental para identificar exfiltração de dados em canais cifrados usados por malware para misturar tráfego malicioso com comúnicações legítimas e evadir inspeção de conteúdo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1048-003-exfiltration-over-unencrypted-obfuscated-non-c2-protocol|T1048.003 — Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-001-local-data-staging|T1074.001 — Local Data Staging]] --- *Fonte: [MITRE ATT&CK — AN1413](https://attack.mitre.org/detectionstrategies/DET0512#AN1413)*