# AN0847 — Analytic 0847 ## Descrição Esta analítica detecta a enumeração de usuários ou grupos locais via acesso ao arquivo `/etc/passwd` ou uso de comandos como `id` e `groups` em sistemas Linux. A telemetria utilizada inclui logs auditd monitorando leituras do arquivo `/etc/passwd` e execução dos utilitários de enumeração de identidade, especialmente quando invocados por processos com contexto de usuário anômalo. Esta detecção é relevante para identificar a fase de reconhecimento pós-comprometimento em servidores Linux, onde adversários verificam que contas privilegiadas e grupos estão disponíveis antes de escalar privilégios ou se mover lateralmente. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0847](https://attack.mitre.org/detectionstrategies/DET0303#AN0847)*