# AN0392 — Analytic 0392 ## Descrição Detecta comportamento de adversário excluindo artefatos (payloads dropados, arquivos de evidência) usando utilitários nativos ou externos como `del`, `erase` ou SDelete, com eventos de exclusão correlacionados com linhagem de processo incomum ou temporização após execução. A telemetria inclui auditoria de operações de arquivo (Sysmon Event ID 23), eventos de exclusão de arquivo e correlação temporal entre criação/execução e exclusão de arquivos suspeitos. Essa analítica é importante para identificar adversários na fase de cobertura de rastros, onde a eliminação de payloads e ferramentas após o uso é padrão para reduzir evidências forenses disponíveis para a equipe de resposta a incidentes. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0392](https://attack.mitre.org/detectionstrategies/DET0140#AN0392)*