# AN0049 — Analytic 0049 ## Descrição Detecta execução de comandos de discovery como `ps aux`, `systemctl status` ou leitura de `/etc/init.d/` para enumerar softwares de segurança ou serviços, frequentemente ocorrendo junto com escalonamento de privilégios ou execução de scripts bash. A telemetria inclui auditd com monitoramento de execuções de processos de discovery, análise de sequência de comandos em sessões de shell e correlação com escalada de privilégios prévia. Esse analítico é relevante para detecção precoce em servidores Linux comprometidos, onde a enumeração de agentes de segurança instalados é um passo padrão antes de tentativas de desabilitação ou evasão. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0049](https://attack.mitre.org/detectionstrategies/DET0016#AN0049)*