# AN0334 — Analytic 0334 ## Descrição Correlaciona eventos de modificação de contas de usuário (redefinição, desativação, exclusão) com linhagem de processo anômala — como PowerShell ou `net.exe` iniciados a partir de sessão interativa —, especialmente fora das janelas de manutenção de TI ou por usuários não administradores. A telemetria inclui logs de segurança do Windows (Event IDs 4720, 4725, 4726, 4740) e dados de criação de processos do Sysmon. Essa analítica é essencial para detectar adversários que manipulam contas de domínio para impedir a resposta a incidentes ou manter acesso persistente após comprometimento. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0334](https://attack.mitre.org/detectionstrategies/DET0120#AN0334)*