# AN0856 — Analytic 0856 ## Descrição Esta analítica detecta acesso correlacionado a arquivos de credenciais inseguros (como *.env, *.xml, *.ps1) seguido de execução de processos suspeitos ou autenticação usando credenciais recuperadas. A telemetria utilizada inclui logs do Sysmon (Event ID 11 para criação de arquivos e Event ID 1 para criação de processos) e logs de segurança do Windows para eventos de logon, correlacionando acesso a arquivos de configuração com autenticações subsequentes. Esta detecção é relevante pois arquivos de configuração com credenciais em texto claro são um alvo frequente de adversários durante a fase de coleta, comum em ambientes de desenvolvimento onde scripts de automação contêm credenciais hardcoded. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1552-001-credentials-in-files|T1552.001 — Credentials In Files]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0856](https://attack.mitre.org/detectionstrategies/DET0307#AN0856)*