# AN2030 — Analytic 2030 ## Descrição Este analítico detecta processos sem histórico prévio ou fora de ferramentas autorizadas que iniciam modificações em arquivos ou registro para configurar regras de exclusão de antivírus, sistemas de backup ou ferramentas de segurança, ou que realizam enumeração de sistema em busca de arquivos e componentes específicos para excluí-los da proteção. A telemetria inclui logs de criação e modificação de chaves de registro relacionadas a exclusões de AV (como `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions`), eventos de auditoria de sistema de arquivos para enumeração de extensões críticas como `.dll`, `.exe`, `.sys` e diretórios sensíveis como `Program Files` e caminhos de ferramentas de segurança. O analítico é crítico porque a desabilitação de exclusões de segurança é uma técnica de evasão fundamental utilizada por ransomware e APTs antes de executar payloads maliciosos para evitar detecção. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1518-software-discovery|T1518 — Software Discovery]] --- *Fonte: [MITRE ATT&CK — AN2030](https://attack.mitre.org/detectionstrategies/DET0897#AN2030)*