# AN1452 — Analytic 1452 ## Descrição Detecta a criação de processos e execução de linha de comando de utilitários nativos de descoberta do sistema como `systeminfo`, `hostname`, `wmic`, ou o uso de PowerShell/WMI para enumeração do ambiente. A telemetria principal inclui logs de criação de processos do Windows (Sysmon EventID 1, EventID 4688), argumentos de linha de comando e rastreamento de execução de scripts PowerShell. Esta analítica é relevante porque a enumeração de informações do sistema é frequentemente um dos primeiros passos em campanhas de pós-exploração, permitindo que adversários compreendam o ambiente-alvo e planejem movimentos laterais. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] --- *Fonte: [MITRE ATT&CK — AN1452](https://attack.mitre.org/detectionstrategies/DET0525#AN1452)*