# AN1538 — Analytic 1538 ## Descrição Este analítico correlaciona a execução de comandos de desligamento ou reinicialização (`shutdown.exe`, `Restart-Computer`) com registros de mudança de status do host (Event IDs 1074, 6006) na ausência de contexto administrativo legítimo, como o usuário pertencer ao grupo de Helpdesk ou existir um ticket de mudança aprovado. A telemetria combina eventos do Windows Event Log com dados de grupo de usuário do Active Directory e, opcionalmente, alertas de ITSM para determinar se o shutdown foi autorizado. A relevância para detecção é alta pois reinicializações não programadas podem indicar sabotagem por insider, ransomware tentando forçar reinicialização para completar criptografia, ou adversários cobrindo rastros ao encerrar sessões de log. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1538](https://attack.mitre.org/detectionstrategies/DET0559#AN1538)*