det0255-detection-strategy-for-log-enumeration

# DET0255 — Detection Strategy for Log Enumeration ## Descrição Detecta a enumeração de logs de sistema, aplicação e segurança por adversários em busca de informações sobre o ambiente, atividades de outros usuários e detecção de monitoramento ativo. Adversários consultam logs para entender o nível de instrumentação defensiva, descobrir credenciais em logs de debug e identificar quando suas atividades foram detectadas. Os indicadores incluem leitura de múltiplos arquivos de log em sequência rápida, queries ao Event Viewer do Windows para logs de Security, System e Application, acesso a arquivos `/var/log/auth.log`, `/var/log/secure` ou `/var/log/audit/audit.log` por processos não relacionados ao sistema de logging, e uso de ferramentas como `Get-EventLog` ou `wevtutil` de forma incomum. A telemetria necessária abrange auditd com regras de acesso a diretórios de log, Windows Event ID 4656 (acesso a objeto) para logs de segurança, process creation com parâmetros de query de Event Log e integração com SIEM para correlação de padrões de enumeração. ## Indicadores de Detecção - `Get-EventLog -LogName Security` ou `wevtutil qe Security` por processo não-SIEM - Leitura de `/var/log/auth.log` + `/var/log/syslog` + `/var/log/audit/audit.log` em sequência por mesmo processo - Acesso a `C:\Windows\System32\winevt\Logs\Security.evtx` por processo de usuário comum - Query de CloudTrail (GetTrail, LookupEvents) por identidade sem papel de auditoria - Acesso a logs de WAF, proxy ou IDS por conta sem função de analista de segurança - Uso de `ausearch` ou `aureport` por processo não-auditd em sistema Linux ## Técnicas Relacionadas - [[t1654-log-enumeration|T1654 — Log Enumeration]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an0705-analytic-0705|AN0705 — Analytic 0705]] - [[an0706-analytic-0706|AN0706 — Analytic 0706]] - [[an0707-analytic-0707|AN0707 — Analytic 0707]] - [[an0708-analytic-0708|AN0708 — Analytic 0708]] - [[an0709-analytic-0709|AN0709 — Analytic 0709]] --- *Fonte: [MITRE ATT&CK — DET0255](https://attack.mitre.org/detectionstrategies/DET0255)*