# AN0705 — Analytic 0705 ## Descrição Monitora o uso de utilitários nativos como `wevtutil.exe` ou cmdlets PowerShell (`Get-WinEvent`, `Get-EventLog`) para enumerar ou exportar logs, com acesso incomum a canais de eventos de segurança ou sistema por usuários não administrativos ou processos correlacionados com exportação de arquivo ou transferência de rede subsequente. A telemetria inclui Sysmon (Event ID 1 com linha de comando), Windows Security Event Log e logs de atividade PowerShell que identificam consultas de logs por processos não pertencentes a ferramentas de SIEM ou backup autorizado. Essa analítica é relevante para detectar adversários que coletam logs do Windows como parte do reconhecimento pós-comprometimento, buscando identificar processos de detecção, histórico de atividade de conta e artefatos forenses para posterior remoção. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0705](https://attack.mitre.org/detectionstrategies/DET0255#AN0705)*