# AN0589 — Analytic 0589 ## Descrição Este analítico detecta acesso de leitura ao registro do Windows associado a processos suspeitos ou não interativos que consultam configuração do sistema, software instalado ou configurações de segurança. A telemetria inclui eventos de auditoria de acesso ao registro do Windows (Event ID 4663), logs do Sysmon com acesso a chaves de registro (Event ID 12/13) e correlação com processos que realizam enumeração extensiva de chaves de registro fora do comportamento de baseline esperado. Essa detecção é importante porque a leitura extensiva do registro é uma fase comum de descoberta em ataques Windows, permitindo que adversários identifiquem configurações de segurança instaladas, credenciais armazenadas e alvos de interesse antes de prosseguir com a cadeia de ataque. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1012-query-registry|T1012 — Query Registry]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0589](https://attack.mitre.org/detectionstrategies/DET0209#AN0589)*