# AN1559 — Analytic 1559 ## Descrição Este analítico detecta comandos CLI que desabilitam o logging de histórico em dispositivos de rede, como `no logging` no IOS da Cisco, identificando a anomalia de ausência de novos comandos nos logs de sessão enquanto atividade na rede persiste como forte sinal de evasão adversarial. A telemetria provém de logs de auditoria TACACS+ ou AAA centralizados que registram todos os comandos executados na sessão, complementados por syslog do dispositivo que pode capturar a alteração da configuração de logging. A relevância é alta pois a desabilitação de logging em dispositivos de rede críticos é frequentemente o primeiro passo de adversários com acesso privilegiado que buscam cobrir rastros de modificações de roteamento, criação de backdoors ou exfiltração de configurações sensíveis. **Plataformas:** Network Devices --- ## Técnicas Relacionadas - [[t1562-006-indicator-blocking|T1562.006 — Impair Defenses: Indicator Blocking]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1559](https://attack.mitre.org/detectionstrategies/DET0563#AN1559)*