# AN0668 — Analytic 0668 ## Descrição Detecta a desativação ou reconfiguração dos serviços syslog ou rsyslog, monitorando paradas repentinas nos daemons de log e execução suspeita de comandos `kill` ou `service stop` direcionados a processos syslog. A telemetria inclui auditd (monitoramento de sinais enviados a processos syslog), logs do systemd e registros de configuração que identificam alterações não autorizadas nos parâmetros de encaminhamento de logs. Essa analítica é crítica pois a desabilitação do syslog é um passo frequente em ataques que visam apagar evidências forenses antes ou durante a execução de outros estágios do ataque, como exfiltração ou criptografia de dados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0668](https://attack.mitre.org/detectionstrategies/DET0239#AN0668)*