# AN0535 — Analytic 0535 ## Descrição Este analítico detecta tentativas de desabilitar ou adulterar o Windows Event Logging, incluindo parada ou desabilitação do serviço EventLog, modificação de chaves de registro relacionadas a EventLog e Autologger, uso de `auditpol` ou `wevtutil` para desabilitar categorias ou limpar políticas de auditoria, e lacunas ou resets anômalos em sequências de registros de eventos. A telemetria inclui eventos do próprio registro de eventos do Windows (Event ID 4719, 1102, 6005, 6006), modificações de registro via Sysmon (Event ID 13) em `HKLM\SYSTEM\CurrentControlSet\Services\EventLog`, e eventos de serviço (Event ID 7036). Desabilitar o logging de eventos é uma das primeiras ações de evasão realizadas por adversários sofisticados após o acesso inicial, tornando essa detecção crítica para a rastreabilidade da cadeia de ataque. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0535](https://attack.mitre.org/detectionstrategies/DET0187#AN0535)*