# AN1472 — Analytic 1472 ## Descrição Detecta a sequência comportamental onde um adversário obtém privilégios elevados e, em seguida, limpa logs de eventos usando binários nativos como `wevtutil`, PowerShell ou exclusão direta de arquivos `.evtx`. A telemetria inclui eventos de auditoria de limpeza de log (EventID 1102 para Security log, 104 para System log), correlacionados com execução de processos privilegiados e uso de ferramentas de limpeza. Esta analítica é importante porque a limpeza de logs é um indicador forte de que um adversário tentou encobrir rastros após ações maliciosas — a detecção desta atividade mesmo que tardia permite reconstrução parcial do incidente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1472](https://attack.mitre.org/detectionstrategies/DET0532#AN1472)*