# DS0028 — Logon Session ## Descrição Uma sessão de logon ocorre quando um usuário ou dispositivo obtém acesso a um sistema ou recurso — local, de domínio ou em nuvem — após autenticação e autorização bem-sucedidas. Esta fonte de dados captura tanto a criação da sessão quanto seus metadados associados (tipo de logon, origem, duração, privilégios). Do ponto de vista defensivo, sessões de logon são uma das fontes de sinal mais ricas para detecção de comprometimento. O padrão de acesso de um adversário — horários atípicos, origens geográficas incomuns, tipos de logon anômalos, saltos laterais entre sistemas — frequentemente se manifesta em dados de sessão antes de qualquer ação destrutiva. Técnicas como *Pass-the-Hash*, *Pass-the-Ticket* e uso de credenciais válidas comprometidas (T1078) deixam rastros distintos nos metadados de sessão que não aparecem em alertas de malware convencional. A relevância desta fonte de dados é especialmente alta em ambientes híbridos (on-premises + Azure AD / Entra ID) comuns em grandes empresas brasileiras dos setores financeiro e governo. Sessões de logon federated (SAML, OAuth) cruzando fronteiras entre Identity Providers e aplicações SaaS são vetores ativos explorados por grupos como [[g0016-apt29]] em campanhas de espionagem e por operadores de BEC (*Business Email Compromise*) — crime cibernético financeiro altamente prevalente no Brasil. ## Pipeline de Coleta ```mermaid graph TB A["👤 Endpoints e Servidores<br/>Windows · Linux · macOS<br/>ESXi · SaaS / IdP"] --> B["📋 Logs de Autenticação<br/>EID 4624/4625/4648<br/>auth.log · SSH · PAM"] A --> C["☁️ Nuvem e Identidade<br/>Azure AD Sign-in Logs<br/>Okta · AWS CloudTrail"] B --> D["📡 Forwarding / Agente<br/>WEF · Syslog · Beats<br/>Microsoft MDI (AD)"] C --> D D --> E["📦 SIEM / UEBA<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas de Sessão<br/>Pass-the-Hash · RDP anômalo<br/>BEC · Impossible Travel"] ``` ## Componentes de Dados | Componente | ID | Descrição | Uso Principal | |---|---|---|---| | Logon Session Creation | [[dc0067-logon-session-creation\|DC0067]] | Evento de criação de nova sessão autenticada | Detectar logins anômalos, pass-the-hash, logins remotos não autorizados | | Logon Session Metadata | [[dc0088-logon-session-metadata\|DC0088]] | Atributos da sessão: tipo, origem, privilégios, duração | Correlacionar com UEBA, detectar escalação de privilégios via sessão | ## Como Coletar ### Windows (Active Directory / Local) - **Windows Security Event Log:** - `EID 4624` — Logon bem-sucedido (inclui tipo de logon: 2=interativo, 3=rede, 10=remoto interativo) - `EID 4625` — Falha de autenticação - `EID 4648` — Logon explícito com credenciais alternativas (RunAs, movimento lateral) - `EID 4768/4769` — Solicitação de TGT/TGS Kerberos (correlacionar com [[dc0084-active-directory-credential-request|DC0084]]) - `EID 4776` — Autenticação NTLM (sinal de pass-the-hash) - **Sysmon (indiretamente):** Correlacionar EID 1 (criação de processo) com LogonId para rastrear processos por sessão. - **Microsoft Defender for Identity (MDI):** Análise comportamental de autenticação Kerberos e NTLM em nível de DC. ### Linux / macOS - **`/var/log/auth.log`** (Debian/Ubuntu) ou **`/var/log/secure`** (RHEL/CentOS): Registros de PAM, SSH, sudo. - **`journalctl -u sshd`:** Sessões SSH com IPs de origem, usuários, resultados. - **Auditd:** Regra para syscall `execve` combinada com `auid` (Audit User ID) mapeia ações à sessão do usuário. - **macOS Unified Logging:** `log show --predicaté 'subsystem == "com.apple.loginwindow"'` para sessões de console. ### Nuvem (IaaS / SaaS / IdP) - **AWS CloudTrail:** Eventos `ConsoleLogin`, `AssumeRole`, `GetSessionToken` — mapeiam criação e uso de sessão. - **Azure AD Sign-in Logs:** Detalhes de cada autenticação: MFA status, Conditional Access result, location, device compliance. - **Google Workspace Admin Reports:** Login Activity com detalhes de IP, método de login, aplicação acessada. - **Okta System Log:** Eventos `user.session.start`, `user.authentication.sso` com contexto de risco. ### ESXi / Virtualização - **vCenter Server Logs:** `/var/log/vmware/vpxd/` — logons administrativos na plataforma de virtualização. - **ESXi Auth Log:** `/var/log/auth.log` no host ESXi — acesso direto via SSH ou DCUI. ## Técnicas Detectadas | ID | Técnica | Como DS0028 Detecta | |---|---|---| | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | Sessão legítima criada com credenciais comprometidas; anomalia em horário/origem | | T1550.002 | [[t1550-002-pass-the-hash\|T1550.002 — Pass the Hash]] | EID 4624 tipo 3 com autenticação NTLM sem logon interativo prévio | | T1550.003 | [[t1550-003-pass-the-ticket\|T1550.003 — Pass the Ticket]] | Ticket Kerberos com anomalias (lifetime estendido, algoritmo RC4 onde se espera AES) | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | Sessões RDP (tipo 10) originadas de hosts incomuns, especialmente em horário fora do padrão | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | Autenticações bem-sucedidas sem MFA onde MFA era exigido; mudança no fluxo de autenticação | ## Gaps de Cobertura Brasil/LATAM **Centralização insuficiente de logs de autenticação:** Muitas organizações brasileiras têm DCs e servidores que não encaminham eventos de segurança ao SIEM. EID 4624/4625 não coletados de todos os DCs criam pontos cegos para detecção de movimento lateral — gap crítico explorado por ransomware como [[lockbit]] antes de cifragem. **Azure AD Sign-in Logs não integrados ao SOC:** Mesmo em organizações com O365, é comum que os Sign-in Logs do Azure AD não estejam integrados ao SIEM local. Isso deixa toda a superfície de BEC e comprometimento de contas cloud fora da detecção — especialmente relevante dado o alto volume de BEC no Brasil. **Ausência de análise de tipo de logon:** A distinção entre logon tipo 3 (rede) e tipo 10 (remoto interativo) é raramente configurada como regra de detecção. Movimento lateral via PsExec (tipo 3) ou RDP (tipo 10) passa sem alerta em SIEMs mal configurados. **ESXi e hipervisores sem monitoramento:** Data centers brasileiros frequentemente operam ESXi sem integração de logs ao SIEM. Acesso administrativo a hipervisores — alvo prioritário de grupos como [[g1017-volt-typhoon]] — ocorre sem visibilidade centralizada. **Falta de correlação temporal (UEBA):** Soluções de UEBA (*User and Entity Behavior Analytics*) são raras em SOCs brasileiros de médio porte. Sem análise de baseline de comportamento de logon, anomalias de *impossible travel* ou horário atípico não geram alertas. ## Referências - [[_detections|Central de Detecções RunkIntel]] - [[dc0067-logon-session-creation|DC0067 — Logon Session Creation]] - [[dc0088-logon-session-metadata|DC0088 — Logon Session Metadata]] - [[dc0002-user-account-authentication|DC0002 — User Account Authentication]] - [[dc0084-active-directory-credential-request|DC0084 — Active Directory Credential Request]] - [MITRE ATT&CK — DS0028 Logon Session](https://attack.mitre.org/datasources/DS0028/) - [Microsoft — Security Audit Events for Windows](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-audit-events)