# AN1476 — Analytic 1476 ## Descrição Detecta conexões wireless anômalas como associações inesperadas a SSIDs, tentativas de autenticação falhadas ou repetidas, e conexões fora de redes de geolocalização conhecidas em dispositivos Windows. A telemetria inclui logs de eventos de conexão wireless do Windows (EventIDs 11000–11004, 8001–8002), registros de WLAN AutoConfig e correlação com perfis de rede autorizados. Esta analítica é relevante para detectar acesso físico não autorizado via redes WiFi falsas ou ataques de evil twin, onde adversários criam pontos de acesso maliciosos para interceptar credenciais ou pivotar para a rede interna. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1476](https://attack.mitre.org/detectionstrategies/DET0536#AN1476)*