# AN0254 — Analytic 0254 ## Descrição Esta analítica detecta o uso de ferramentas nativas do sistema (`whoami`, `query user`, `net user`) ou scripts que enumeram informações de contas de usuário via execução local ou consultas remotas por API (WMI, PowerShell). A telemetria inclui logs de criação de processos com linha de comando (Sysmon Event ID 1, Windows Security Event 4688) e eventos de consulta WMI. A detecção é fundamental pois a enumeração de usuários é etapa padrão de reconhecimento pós-exploração utilizada por práticamente todos os grupos APT antes de escalada de privilégios ou movimentação lateral. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1087-001-local-account|T1087.001 — Local Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0254](https://attack.mitre.org/detectionstrategies/DET0093#AN0254)*