# AN1325 — Analytic 1325 ## Descrição Detecta enumeração de serviços via ferramentas nativas de linha de comando como `sc query`, `tasklist /svc` e `net start`, ou chamadas de API via PowerShell e WMI para listar serviços em execução. A telemetria inclui eventos de criação de processos (Event ID 4688) para essas ferramentas, consultas WMI à classe `Win32_Service`, execução de cmdlets PowerShell `Get-Service` e eventos de script block logging. Esta detecção é relevante durante a fase de descoberta pós-comprometimento, onde adversários enumeram serviços para identificar software de segurança a ser desabilitado, serviços vulneráveis a hijacking ou oportunidades de escalonamento de privilégios via serviços mal configurados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1007-system-service-discovery|T1007 — System Service Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN1325](https://attack.mitre.org/detectionstrategies/DET0483#AN1325)*