# AN1041 — Analytic 1041 ## Descrição Detecta uso de comandos de enumeração de arquivos — como `ls`, `find` e `locaté` — executados por usuários ou scripts suspeitos acessando hierarquias amplas de arquivos ou diretórios restritos. A telemetria inclui logs do auditd monitorando execuções desses comandos, análise de argumentos de linha de comando e contexto do usuário de execução. Enumeração extensiva do sistema de arquivos por usuários não-privilegiados ou processos de serviço é um forte indicador de atividade de reconhecimento pós-comprometimento em servidores Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1041](https://attack.mitre.org/detectionstrategies/DET0370#AN1041)*