# AN1353 — Analytic 1353 ## Descrição Detecta enumeração suspeita de periféricos conectados via WMI, PowerShell ou chamadas de API de baixo nível, potencialmente encadeadas com interações com dispositivos removíveis. A telemetria inclui eventos de criação de processos para consultas WMI à classe `Win32_PnPEntity` e `Win32_USBControllerDevice`, cmdlets PowerShell `Get-PnpDevice`, eventos de conexão de dispositivos (Event ID 2003/2004 do Sysmon) e correlação com acesso a dispositivos de armazenamento removíveis. Esta detecção é relevante para identificar coleta de dados via periféricos onde adversários primeiro enumeram dispositivos USB ou câmeras conectadas e então realizam coleta de arquivos ou captura de tela usando os dispositivos identificados como vetor de exfiltração ou coleta de dados localmente no sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1120-peripheral-device-discovery|T1120 — Peripheral Device Discovery]] - [[t1025-data-from-removable-media|T1025 — Data from Removable Media]] - [[t1052-exfiltration-over-physical-medium|T1052 — Exfiltration Over Physical Medium]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] --- *Fonte: [MITRE ATT&CK — AN1353](https://attack.mitre.org/detectionstrategies/DET0491#AN1353)*