# AN0286 — Analytic 0286 ## Descrição Esta analítica detecta tentativas de desconexão de compartilhamentos de rede usando ferramentas de linha de comando como `net use /delete`, PowerShell `Remove-SmbMapping`, correlacionadas com linhagem de processo e atividade de encerramento de sessão SMB. A telemetria inclui logs de auditoria SMB do Windows, eventos de desconexão de compartilhamento e análise de linhagem de processo para identificar executores não autorizados. A detecção é relevante pois a desconexão de compartilhamentos de rede pode indicar preparação para ataques de ransomware ou esforço para encobrir rastros de exfiltração de dados via SMB. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1039-data-from-network-shared-drive|T1039 — Data from Network Shared Drive]] --- *Fonte: [MITRE ATT&CK — AN0286](https://attack.mitre.org/detectionstrategies/DET0103#AN0286)*