# AN0536 — Analytic 0536 ## Descrição Este analítico detecta enumeração de drives via PowerShell (`Get-PSDrive`), `wmic lógicaldisk` ou Win32 API indicativa de enumeração de volumes locais por usuários não-admin ou executada fora de scripts de inventário de sistema baseline no Windows. A telemetria inclui logs de execução de processos do Sysmon (Event ID 1), logs de PowerShell (Event ID 4103, 4104), eventos WMI (Event ID 4688) e correlação com o contexto de usuário e horário de execução. A enumeração de drives faz parte da fase de reconhecimento do sistema de adversários que tentam identificar volumes de armazenamento antes de realizar coleta ou exfiltração de dados. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0536](https://attack.mitre.org/detectionstrategies/DET0188#AN0536)*