# AN0096 — Analytic 0096 ## Descrição Detecta a execução de utilitários comuns de enumeração de processos como ps, top ou htop, ou acesso direto ao sistema de arquivos /proc com ancestralidade de processo suspeita no Linux. A telemetria baseia-se em logs do auditd para rastrear execuções desses utilitários, correlacionados com contexto de shell interativo e função do usuário (especialmente contas de serviço ou usuários não interativos). Este analítico é valioso para detectar a fase de reconhecimento interno de uma intrusão, onde o adversário busca identificar processos de segurança em execução ou oportunidades para escalonamento de privilégios. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1087-account-discovery|T1087 — Account Discovery]] --- *Fonte: [MITRE ATT&CK — AN0096](https://attack.mitre.org/detectionstrategies/DET0034#AN0096)*