# AN0171 — Analytic 0171 ## Descrição Detecta a desativação ou modificação do sistema de auditoria Linux por meio de encerramento do processo auditd, gerenciamento de serviços (ex.: `systemctl stop auditd`) ou adulteração dos arquivos de regras e configuração (`/etc/audit/audit.rules`, `audit.conf`). A telemetria inclui a ausência súbita de logs de auditoria, execuções suspeitas dos comandos `auditctl` ou `systemctl` com parâmetros de parada/desativação e modificações de arquivo nos caminhos de configuração de auditoria, correlacionadas com execuções privilegiadas. Essa analítica é fundamental para o modelo de detecção porque o auditd é a principal fonte de telemetria comportamental em servidores Linux — sua desativação é frequentemente o primeiro passo de adversários que buscam operar sem rastros após obter acesso root. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0171](https://attack.mitre.org/detectionstrategies/DET0062#AN0171)*