# AN1519 — Analytic 1519 ## Descrição Detecta exportação baseada em CLI de material de chave privada (como `crypto pki export`) com sessão de usuário anômala ou escalonamento de função AAA em dispositivos de rede. A telemetria inclui logs de syslog dos dispositivos, registros de AAA (autenticação, autorização e contabilidade) e alertas de comandos de alto privilégio executados fora de janelas de manutenção por identidades incomuns. Esta analítica é crítica para detectar roubo de certificados e chaves privadas de infraestrutura de rede, material que pode permitir ao adversário realizar ataques Man-in-the-Middle ou forjar identidade de equipamentos de rede em comúnicações criptografadas. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] --- *Fonte: [MITRE ATT&CK — AN1519](https://attack.mitre.org/detectionstrategies/DET0549#AN1519)*