# AN0706 — Analytic 0706 ## Descrição Monitora uso suspeito de comandos como `cat`, `less`, `grep` ou `journalctl` acessando arquivos em `/var/log/`, com enumeração anômala de logs de autenticação (`auth.log`, `secure`) ou acesso em massa a múltiplos logs em janelas de tempo curtas. A telemetria inclui auditd (monitoramento de acesso a arquivos em `/var/log/`), bash history e registros de execução de processo que identificam usuários ou processos consultando logs de autenticação fora de horários ou padrões esperados. Essa analítica é importante pois a coleta de logs de autenticação Linux é frequentemente realizada por adversários para mapear atividades de administradores, identificar janelas de inatividade de monitoramento e apagar rastros de seu próprio acesso antes de encerrar operações. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1087-account-discovery|T1087 — Account Discovery]] --- *Fonte: [MITRE ATT&CK — AN0706](https://attack.mitre.org/detectionstrategies/DET0255#AN0706)*