# AN0258 — Analytic 0258 ## Descrição Esta analítica detecta a criação ou modificação de tarefas agendadas usando `schtasks.exe`, `at.exe` ou objetos COM, seguida pela execução de processos incomuns vinculados ao trabalho agendado. A telemetria utilizada inclui o Windows Security Event ID 4698 (criação de tarefa), Sysmon Event ID 1 (criação de processo) e eventos do Task Scheduler operational log. A detecção é crítica pois tarefas agendadas são mecanismo clássico de persistência no Windows utilizado por grupos como APT29, FIN7 e operadores de ransomware para manter acesso após reinicializações. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1053-005-scheduled-task|T1053.005 — Scheduled Task]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0258](https://attack.mitre.org/detectionstrategies/DET0094#AN0258)*