# AN0006 — Analytic 0006 ## Descrição Detecta o uso de ferramentas nativas como `net user /add /domain` ou PowerShell para criar contas de usuário de domínio, correlacionando execução suspeita de processos em um controlador de domínio com o evento de criação de conta (Event ID 4720) no mesmo host. A telemetria é baseada em logs de eventos do Windows (Security Event Log), auditoria de Active Directory e dados de EDR que rastreiam árvores de processos. Este analítico é essencial para detectar criação de contas backdoor usadas por APTs para manter persistência em ambientes corporativos. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0006](https://attack.mitre.org/detectionstrategies/DET0003#AN0006)*