# AN0255 — Analytic 0255 ## Descrição Esta analítica detecta a execução de comandos como `whoami`, `id`, `w` ou `cat /etc/passwd` originados de contextos não interativos ou de scripts, com o objetivo de enumerar detalhes de usuários do sistema. A telemetria é baseada em logs de auditd (syscall `execve`) ou eBPF rastreando execuções de processos fora de sessões de terminal legítimas. A detecção é relevante pois a enumeração de usuários é o primeiro passo de reconhecimento local em servidores Linux comprometidos, precedendo tentativas de escalada de privilégios. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0255](https://attack.mitre.org/detectionstrategies/DET0093#AN0255)*