# AN1539 — Analytic 1539 ## Descrição Este analítico detecta execuções de comandos `shutdown`, `reboot` ou `systemctl poweroff` no Linux registrados pelo auditd ou syslog, correlacionados com ausência de janelas de manutenção agendadas ou contexto de usuário aprovado para executar tal ação. A telemetria provém de eventos auditd (`EXECVE`, `SYSCALL`) que capturam a execução desses comandos com UID, PID e argumentos, além de integração com ferramentas de gestão de mudanças para válidar se o desligamento é esperado. A detecção é relevante em servidores Linux críticos onde desligamentos não autorizados podem indicar atividade de ransomware, sabotagem de infraestrutura ou tentativas de evasão de detecção por parte de adversários. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1529-system-shutdown-reboot|T1529 — System Shutdown/Reboot]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1539](https://attack.mitre.org/detectionstrategies/DET0559#AN1539)*