# AN0469 — Analytic 0469 ## Descrição Detecta invocação de `Clear-History` do PowerShell ou deleção de `ConsoleHost_history.txt` para apagar o histórico de sessões PowerShell anteriores. A telemetria necessária inclui PowerShell ScriptBlock Logging (Event ID 4104) para capturar execução de `Clear-History`, monitoramento de integridade de arquivo para o arquivo de histórico do PowerShell em `%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt` e alertas para deleção ou truncamento deste arquivo após sessões ativas. Essa detecção é importante em ambientes Windows corporativos onde PowerShell é a ferramenta primária de operação de adversários, e a limpeza de histórico é uma ação padrão de cobertura de rastros após execução de scripts maliciosos ou exfiltração de dados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1070-003-indicator-removal-clear-command-history|T1070.003 — Clear Command History]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0469](https://attack.mitre.org/detectionstrategies/DET0165#AN0469)*