# AN1511 — Analytic 1511 ## Descrição Detecta processos que normalmente não iniciam comúnicações de rede fazendo repentinamente conexões HTTPS de saída com altas razões de dados enviados para recebidos, correlacionando logs de criação de processos (Word, Excel, PowerShell) com volumes de tráfego anômalos em direção a serviços web comuns como Dropbox, Google Drive ou OneDrive. A telemetria inclui eventos de conexão de rede do Sysmon (EventID 3), análise de fluxo de rede (NetFlow) e correlação com processos de origem não tipicamente de rede. Esta analítica detecta exfiltração de dados via serviços web legítimos em Windows, técnica que explora a confiança que proxies corporativos depositam em serviços populares de compartilhamento de arquivos para transferir dados roubados sem acionar alertas de destino malicioso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1511](https://attack.mitre.org/detectionstrategies/DET0548#AN1511)*