# AN0886 — Analytic 0886 ## Descrição Este analytic monitora eventos incomuns de parada de serviços, encerramento de processos de AV/EDR, modificações no registro que desabilitam ferramentas de segurança e alterações na configuração do Windows Defender ou firewall. A telemetria central inclui eventos do log de sistema do Windows (Event ID 4688, 7036), modificações de chaves de registro e logs de criação de processos correlacionados com requisições de parada de serviço. Detectar a desativação de ferramentas de defesa é um indicador-chave de comprometimento, pois adversários frequentemente eliminam controles de segurança antes de executar payload malicioso ou movimentação lateral. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 — Disable or Modify System Firewall]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN0886](https://attack.mitre.org/detectionstrategies/DET0317#AN0886)*