# AN0868 — Analytic 0868 ## Descrição Esta analítica detecta inconsistências entre o estado de saúde reportado por sensores de segurança e o estado real de processos/serviços, como o ícone do Windows Defender mostrando status saudável enquanto os serviços WinDefend e MsMpEng estão parados ou desabilitados. A telemetria utilizada inclui logs de segurança do Windows para eventos de parada de serviço (Event IDs 7036, 7040) correlacionados com eventos de criação de processo para processos que geram notificações de UI de saúde falsas. Esta detecção é crítica para identificar malware que desabilita proteções de endpoint enquanto cria fachadas visuais para enganar usuários e analistas de segurança que monitoram visualmente o estado dos sistemas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0868](https://attack.mitre.org/detectionstrategies/DET0311#AN0868)*