# AN1942 — Analytic 1942 ## Descrição Esta analítica detecta atividade de reconhecimento adversarial via tráfego de rede suspeito indicativo de web crawling — incluindo sucessões rápidas de requisições, grande volume de acessos originados de um único IP (especialmente de IPs associados a adversários) e análise de metadados HTTP como campos `Referer` e `User-Agent` que revelam ferramentas de scanning. A telemetria inclui logs de servidor web e firewall correlacionando padrões de requisição com listas de IPs maliciosos, análise de User-Agent strings contra signatures de scanners conhecidos (Shodan, Censys, Nmap) e alertas de raté limiting de WAF. Esta detecção permite identificar fases de reconhecimento ativo antes que o adversário avance para tentativas de exploração. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1595-active-scanning|T1595 — Active Scanning]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1942](https://attack.mitre.org/detectionstrategies/DET0810#AN1942)*