# AN0095 — Analytic 0095 ## Descrição Identifica comportamento adversarial que inicia comandos ou invoca APIs para enumerar processos ativos, como tasklist.exe, Get-Process ou CreateToolhelp32Snapshot, em contextos de linhagem de processo suspeitos. A telemetria utilizada inclui logs do Sysmon (Event ID 1 para criação de processo com linha de comando), eventos de chamada de API do Windows via ETW (Windows Event Tracing), e correlação com sessão de rede remota ou origem não usual do processo pai. Este analítico é relevante para detectar a fase de discovery de uma intrusão, onde o adversário mapeia o ambiente antes de escalonamento de privilégios ou movimento lateral. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] --- *Fonte: [MITRE ATT&CK — AN0095](https://attack.mitre.org/detectionstrategies/DET0034#AN0095)*