# AN0869 — Analytic 0869 ## Descrição Esta analítica monitora discrepâncias entre o estado de daemon/serviço do sistema e mensagens de saúde reportadas, como syslog mostrando que o daemon de AV/IDS foi parado, mas mensagens falsificadas alegando que ainda está em execução. A telemetria utilizada inclui syslog e journald para monitorar estado de serviços de segurança, além de eventos de processo para identificar userland processos imitando saídas de linha de comando de AV/IDS ou modificando configurações de log forwarding. Esta detecção é fundamental para ambientes Linux onde adversários usam rootkits ou técnicas de evasão avançadas para ocultar a desativação de ferramentas de segurança dos administradores que monitoram via dashboards centralizados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0869](https://attack.mitre.org/detectionstrategies/DET0311#AN0869)*