# AN1326 — Analytic 1326 ## Descrição Detecta execução de comandos de gerenciamento de serviços como `systemctl list-units`, `service --status-all` ou leitura direta de `/etc/init.d` em contextos suspeitos. A telemetria inclui eventos de auditd para execuções de `systemctl` e `service`, leituras de `/etc/init.d` e `/lib/systemd/system/`, correlacionados com a linhagem do processo que realiza a enumeração. Esta detecção é importante durante a fase de descoberta de adversários em Linux, onde a enumeração de serviços revela alvos para desabilitação de controles de segurança (como antivírus ou agentes de monitoramento), identificação de serviços vulneráveis ou persistência via serviços systemd mal configurados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1007-system-service-discovery|T1007 — System Service Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1543-003-windows-service|T1543 — Create or Modify System Process]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1326](https://attack.mitre.org/detectionstrategies/DET0483#AN1326)*