# AN0048 — Analytic 0048 ## Descrição Detecta a execução de comandos para enumerar softwares antivírus, EDR ou agentes de firewall instalados usando WMI, consultas ao registro e ferramentas nativas (ex: tasklist, netsh, sc query), correlacionado com uso de privilégios elevados ou mecanismos de scripting. A telemetria inclui logs de execução de processos (Sysmon), queries WMI (Event ID 5857), modificações de registro e análise de linha de comando para detectar enumeração de soluções de segurança. Esse analítico detecta a fase de reconhecimento defensivo onde adversários mapeiam controles de segurança presentes antes de executar técnicas de evasão ou desabilitação. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0048](https://attack.mitre.org/detectionstrategies/DET0016#AN0048)*