# AN1595 — Analytic 1595 ## Descrição Monitora uso suspeito de utilitários de enumeração de drivers (driverquery.exe) ou chamadas de API como EnumDeviceDrivers(), além de consultas anômalas ao registro em `HKLM\SYSTEM\CurrentControlSet\Services` e HardwareProfiles que podem indicar tentativas de descobrir drivers e serviços instalados. A telemetria inclui eventos de criação de processos, acesso ao registro (Sysmon Event ID 13) e chamadas de API correlacionadas para construir uma cadeia comportamental de descoberta de drivers. Adversários realizam essa enumeração para identificar drivers vulneráveis exploráveis para escalada de privilégios ou para mapear controles de segurança instalados no endpoint. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1595](https://attack.mitre.org/detectionstrategies/DET0579#AN1595)*