# AN1557 — Analytic 1557 ## Descrição Este analítico detecta supressão do histórico PowerShell no Windows via uso de `Set-PSReadLineOption` com `SaveNothing` ou com `HistorySavePath` apontando para `/dev/null` ou caminhos alternativos, correlacionando essas opções com uso ativo do PowerShell para destacar tentativas de evasão adversarial que buscam remover evidências de comandos executados. A telemetria provém do Windows Event Log (Event ID 4104 — Script Block Logging) e eventos de linha de comando do EDR que registram todos os comandos PowerShell executados, incluindo chamadas a `Set-PSReadLineOption`. A relevância é alta pois a supressão do histórico PSReadLine é uma técnica comumente empregada por adversários que utilizam PowerShell como ferramenta de ataque para cobrir rastros de execução pós-comprometimento. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-006-indicator-blocking|T1562.006 — Impair Defenses: Indicator Blocking]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1557](https://attack.mitre.org/detectionstrategies/DET0563#AN1557)*