# AN0406 — Analytic 0406 ## Descrição Detecta adulteração do firewall Windows monitorando processos que executam `netsh`, `PowerShell Set-NetFirewallProfile` ou `sc stop mpssvc`, bem como modificações no registro sob `HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy`. A telemetria necessária inclui logs de criação de processos (Sysmon Event ID 1), monitoramento de registro (Event ID 4657) e logs de auditoria de segurança do Windows para mudanças de política de grupo. Essa detecção é essencial para identificar adversários que desabilitam o firewall como etapa de evasão defensiva antes de executar movimentação lateral ou implantação de backdoor. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-004-impair-defenses-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0406](https://attack.mitre.org/detectionstrategies/DET0145#AN0406)*