# AN1949 — Analytic 1949 ## Descrição Esta analítica detecta padrões de scanning ativo por meio do monitoramento de conteúdo de tráfego de rede, identificando tentativas de conexão repetidas, comportamentos de varredura incomuns ou atividade de probing direcionada a múltiplos endereços IP na rede, além de fluxos de dados incomuns de processos que normalmente não realizam comunicação de rede. A telemetria inclui NetFlow/IPFIX, logs de IDS/IPS, dados de packet capture e alertas de NDR (Network Detection and Response) para padrões de scanning como SYN scan, XMAS scan ou varreduras de portas específicas origindas de fontes não autorizadas. Esta detecção é importante para identificar adversários na fase de reconhecimento ativo antes que avancem para exploração, especialmente relevante para redes industriais e de infraestrutura crítica. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1595-active-scanning|T1595 — Active Scanning]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] - [[t1590-gather-victim-network-information|T1590 — Gather Victim Network Information]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1949](https://attack.mitre.org/detectionstrategies/DET0817#AN1949)*