# AN1369 — Analytic 1369 ## Descrição Detecta comportamento adversário que desativa ou modifica ferramentas de segurança no Windows, incluindo encerramento de processos de AV/EDR, parada de serviços de proteção, alteração de chaves de registro do Sysmon ou manipulação de listas de exclusão. Utiliza telemetria de encerramento de processos e serviços (Event ID 4689, 7036), monitoramento de modificações de registro em chaves de segurança e ausência anômala de telemetria esperada para identificar tentativas de evasão. Detectar desabilitação de ferramentas de segurança é sinal de alta prioridade pois indica que um adversário está se preparando para ações de maior impacto sem observabilidade. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1369](https://attack.mitre.org/detectionstrategies/DET0497#AN1369)*