# AN0537 — Analytic 0537 ## Descrição Este analítico detecta uso anormal de `lsblk`, `fdisk -l`, `lshw -class disk` ou `parted` por usuários não-admin ou dentro de shells não interativas, sugerindo atividade suspeita de enumeração de disco no Linux. A telemetria inclui auditd para execuções dessas ferramentas com contexto de usuário, logs de processo e correlação com o ambiente de execução (interativo vs. não-interativo) e histórico de atividade do usuário. Enumeração de disco em Linux é relevante especialmente em servidores de banco de dados ou armazenamento, onde adversários mapeiam volumes disponíveis para identificar dados valiosos antes de exfiltração ou destruição. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0537](https://attack.mitre.org/detectionstrategies/DET0188#AN0537)*