# AN0471 — Analytic 0471 ## Descrição Detecta uso de comandos `clear history` ou `clear logging` na CLI de dispositivos de rede para remover logs de atividade passada, identificando esta ação como forte indicador de tentativa de cobertura de rastros em roteadores ou switches comprometidos. A telemetria necessária inclui contabilização de comandos TACACS+/RADIUS que registra todos os comandos CLI executados, alertas específicos para comandos de limpeza de log e syslog centralizado que captura logs antes de serem limpos localmente no dispositivo. Essa detecção é crítica em infraestrutura de rede, pois adversários que comprometem dispositivos de rede frequentemente executam `clear history` e `clear logging` após instalar backdoors ou exfiltrar configurações, para dificultar forense e investigações de resposta a incidentes. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1070-003-indicator-removal-clear-command-history|T1070.003 — Clear Command History]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0471](https://attack.mitre.org/detectionstrategies/DET0165#AN0471)*