# AN0520 — Analytic 0520 ## Descrição Este analítico monitora sequências envolvendo deleção ou modificação de logs, chaves de registro, tarefas agendadas ou arquivos prefetch no Windows após atividade suspeita de processos ou escalonamento de acesso elevado. A telemetria inclui logs de auditoria do Windows (Event ID 1102, 4657, 4699, 4702), eventos Sysmon de modificação de registro (Event ID 13) e acesso a arquivos (Event ID 11), correlacionados com execução de processos privilegiados. Adversários que limpam rastros de execução após um comprometimento tentam dificultar a análise forense e a resposta a incidentes, tornando esse analítico valioso para detecção de comportamento de evasão pós-exploração. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0520](https://attack.mitre.org/detectionstrategies/DET0184#AN0520)*