# AN0893 — Analytic 0893 ## Descrição Este analytic detecta a execução de comandos que desabilitam AAA (Autenticação, Autorização e Contabilidade), logging ou funcionalidades de segurança em roteadores e switches, correlacionando escalada de privilégio com alterações de configuração que removem mecanismos de defesa. A telemetria inclui logs de sessão de terminal do dispositivo (syslog, RADIUS/TACACS+ logs) e eventos de configuração CLI capturados por soluções de gerenciamento de rede. Desativar AAA e logging em dispositivos de rede é uma técnica usada por adversários para eliminar trilhas de auditoria e operar sem rastreamento, frequentemente observada em ataques a infraestruturas críticas. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-006-indicator-blocking|T1562.006 — Indicator Blocking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0893](https://attack.mitre.org/detectionstrategies/DET0317#AN0893)*