# AN1040 — Analytic 1040 ## Descrição Detecta execução de comandos de enumeração de arquivos — como `dir` e `tree` — a partir de processos não-padrão ou contextos de usuário incomuns, seguida de travessia recursiva de diretórios ou acesso a locais sensíveis. A telemetria inclui eventos de criação de processos (Sysmon Event ID 1), logs de linha de comando e monitoramento de acesso a diretórios críticos como `C:\Users`, `C:\Windows\System32` e pastas de configuração de aplicativos. Esse comportamento é típico da fase de reconhecimento pós-comprometimento, onde atacantes mapeiam o sistema de arquivos em busca de dados valiosos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1040](https://attack.mitre.org/detectionstrategies/DET0370#AN1040)*