# AN0163 — Analytic 0163 ## Descrição Detecta manipulação não autorizada de arquivos de log, entradas de banco de dados ou arquivos de configuração do sistema por meio de auditd e syslog no Linux, correlacionando comandos shell que alteram HISTFILE ou processos relacionados a dados com padrões anômalos de acesso a arquivos. A telemetria principal inclui registros auditd de chamadas de sistema open/write/unlink sobre arquivos sensíveis, eventos syslog de modificações de configuração e correlação com execuções privilegiadas de processos. Essa analítica é fundamental para identificar tentativas de destruição de evidências ou sabotagem de integridade de dados, táticas comuns em ataques de ransomware e operações de espionagem em servidores Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0163](https://attack.mitre.org/detectionstrategies/DET0059#AN0163)*