det0187-detect-disabled-windows-event-logging

# DET0187 — Detect disabled Windows event logging ## Descrição Esta estratégia detecta a desativação intencional do serviço de log de eventos do Windows — mapeada para [[T1562.002 — Disable Windows Event Logging]]. Adversários desativam ou corrompem o Windows Event Log para impedir a geração de evidências durante suas operações, visando específicamente canais como Security, System e Application que documentam autenticações, execuções de processo e alterações de política. A detecção monitora tentativas de parar o serviço `EventLog`, modificações nas chaves de registro que controlam a auditoria (`HKLM\SYSTEM\CurrentControlSet\Services\EventLog`), e uso de ferramentas como `auditpol.exe /set /category:* /success:disable`. O próprio Windows gera evento 1100 (serviço de auditoria encerrado) e 1102 (log de segurança limpo) — garantir que esses eventos fluam para um SIEM externo antes de qualquer desativação é crítico. O analytics AN0535 correlaciona parada do serviço EventLog com o contexto de processo pai, identificando scripts ou malware que tentam suprimir evidências. A detecção é de alta prioridade pois indica fase avançada de comprometimento — o adversário já tem nível de privilégio para modificar auditoria do sistema. ## Indicadores de Detecção - `sc stop EventLog` ou `net stop "Windows Event Log"` executados por processos não-administrativos - Modificação de chaves de registro `HKLM\SYSTEM\CurrentControlSet\Services\EventLog\*` - `auditpol.exe /set /subcategory:* /success:disable /failure:disable` - Evento Windows ID 1100: o serviço de log de eventos foi encerrado - Evento Windows ID 1102: o log de auditoria foi limpo - `wevtutil sl Security /e:false` — desativação de canais de log específicos - Gaps inexplicáveis na sequência de IDs de eventos de segurança no SIEM ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an0535-analytic-0535|AN0535 — Analytic 0535]] --- *Fonte: [MITRE ATT&CK — DET0187](https://attack.mitre.org/detectionstrategies/DET0187)*