# AN1962 — Analytic 1962 ## Descrição Esta analítica detecta fluxos de dados incomuns na rede monitorando processos que utilizam rede sem histórico de comunicação, identificando padrões de tráfego que não seguem os padrões esperados de protocolo (pacotes extraviados, sintaxe anômala, estrutura incomum), correlacionados com execução de processos e argumentos de linha de comando associados a comportamento de tráfego anômalo. A telemetria inclui NDR/SIEM para análise de flows de rede, inspeção profunda de pacotes (DPI) para desvios de protocolo, logs de proxy corporativo para requisições de processos incomuns e alertas de EDR para processos com primeira conexão de rede. Esta detecção é importante no contexto PRE porque identifica a fase inicial de staging e teste de infraestrutura adversarial antes do comprometimento. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1102-web-service|T1102 — Web Service]] --- *Fonte: [MITRE ATT&CK — AN1962](https://attack.mitre.org/detectionstrategies/DET0830#AN1962)*