# AN0667 — Analytic 0667 ## Descrição Correlaciona modificações no registro do Windows nas chaves EventLog ou WMI Autologger, uso suspeito de `Set-EtwTraceProvider` e alterações na configuração do Sysmon, detectando interrupção ou redirecionamento da coleta de eventos ETW e logs. A telemetria inclui logs de auditoria do registro do Windows (Event ID 4657), alertas do Sysmon e logs de política de grupo que identificam tentativas de desabilitar ou modificar provedores de log de eventos. Essa analítica é fundamental pois a supressão de logs ETW é uma técnica central de evasão de defesa usada por malware avançado como Cobalt Strike e ferramentas de pós-exploração para operar sem deixar rastros auditáveis. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0667](https://attack.mitre.org/detectionstrategies/DET0239#AN0667)*