# AN0887 — Analytic 0887 ## Descrição Este analytic detecta a execução de comandos que param ou encerram processos associados a daemons de logging ou segurança, como `auditd`, `syslog` e `falco`, bem como modificações em regras de `iptables` ou desativação da aplicação de SELinux/AppArmor. A telemetria empregada inclui logs de auditoria do kernel, registros de systemd/journald e eventos de escalada de privilégios via `sudo` correlacionados com interrupções abruptas de serviços. Em Linux, a parada de controles de segurança é um pré-requisito comum para atividades de pós-comprometimento, tornando esta detecção essencial para identificar adversários que buscam operar sem registro de suas ações. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1562-006-indicator-blocking|T1562.006 — Indicator Blocking]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0887](https://attack.mitre.org/detectionstrategies/DET0317#AN0887)*