# AN1100 — Analytic 1100 ## Descrição Este analítico detecta adversários que iniciam um processo ou script para enumerar software instalado usando WMI, registro ou PowerShell, potencialmente seguido de comportamento adicional de descoberta ou evasão. Utiliza telemetria de Sysmon (Event IDs 1, 11), Script Block Logging do PowerShell e monitoramento de consultas WMI para identificar enumeração sistemática de software instalado. A detecção é relevante porque a enumeração de software permite ao adversário identificar ferramentas de segurança instaladas (EDR, AV, SIEM agents) para selecionar técnicas de evasão específicas antes de executar payloads maliciosos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1100](https://attack.mitre.org/detectionstrategies/DET0392#AN1100)*