# AN1999 — Analytic 1999 ## Descrição Este analítico detecta o uso adversário de protocolos de comunicação de forma anômala para estabelecer canais encobertos ou exfiltrar dados, combinando análise de padrões de tráfego de rede com inspeção de pacotes para identificar desvios dos fluxos de protocolo esperados. A telemetria inclui logs de tráfego de rede para detectar fluxos de dados incomuns iniciados por processos sem histórico de comunicação, inspeção profunda de pacotes para identificar estruturas de protocolo não conformes, pacotes extrâneos fora de fluxos estabelecidos e sintaxe anômala que pode indicar dados encobertos. A correlação com monitoramento de processos e linha de comando é fundamental para identificar execuções de processos que anormalmente iniciam conexões de rede. **Plataformas:** PRE --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1095-non-application-layer-protocol|T1095 — Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1999](https://attack.mitre.org/detectionstrategies/DET0867#AN1999)*