det0317-detection-strategy-for-impair-defenses-across-platforms

# DET0317 — Detection Strategy for Impair Defenses Across Platforms ## Descrição Esta estratégia detecta tentativas de adversários de desabilitar ou interferir em mecanismos de segurança — incluindo antivírus, EDR, firewalls e logs de auditoria — em plataformas Windows, Linux e macOS. A técnica [[t1562-impair-defenses|T1562-impair-defenses]] é amplamente usada por grupos de ransomware e APTs para reduzir a visibilidade defensiva antes de executar payloads ou mover-se lateralmente. A detecção foca em alterações de configuração anômalas, paradas de serviços de segurança e modificações em políticas de auditoria. Telemetria de EDR, logs de eventos do sistema e monitoramento de registro são as principais fontes de dados. Correlacionar a desativação de defesas com execuções subsequentes suspeitas aumenta significativamente a fidelidade dos alertas. Ambientes LATAM frequentemente sofrem com cobertura parcial de EDR em endpoints legados, tornando a detecção via logs de eventos do Windows (IDs 4719, 7036, 7040) crítica como camada complementar de visibilidade. ## Indicadores de Detecção - Parada ou desativação de serviços de AV/EDR (sc stop, net stop, taskkill) - Modificação de chaves de registro relacionadas a Windows Defender (DisableAntiSpyware, DisableRealtimeMonitoring) - Alteração de políticas de auditoria via `auditpol.exe` ou Group Policy - Exclusão ou limpeza de logs de eventos do Windows (wevtutil cl) - Desabilitação de regras de firewall via `netsh advfirewall` - Processos com privilégios elevados interagindo com drivers de segurança ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562-impair-defenses]] — técnica primária coberta por esta estratégia - [[T1562.001-disable-or-modify-tools]] — desativação direta de ferramentas de segurança - [[T1562.002-disable-windows-event-logging]] — supressão de logs de auditoria - [[t1070-indicator-removal|T1070-indicator-removal]] — remoção de rastros após impairment - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — execução de comandos de desativação ## Analytics Relacionadas - [[an0886-analytic-0886|AN0886 — Analytic 0886]] - [[an0887-analytic-0887|AN0887 — Analytic 0887]] - [[an0888-analytic-0888|AN0888 — Analytic 0888]] - [[an0889-analytic-0889|AN0889 — Analytic 0889]] - [[an0890-analytic-0890|AN0890 — Analytic 0890]] - [[an0891-analytic-0891|AN0891 — Analytic 0891]] - [[an0892-analytic-0892|AN0892 — Analytic 0892]] - [[an0893-analytic-0893|AN0893 — Analytic 0893]] - [[an0894-analytic-0894|AN0894 — Analytic 0894]] --- *Fonte: [MITRE ATT&CK — DET0317](https://attack.mitre.org/detectionstrategies/DET0317)*