# AN0590 — Analytic 0590 ## Descrição Este analítico detecta comportamento suspeito de logon usando contas de domínio válidas em múltiplos hosts, fora do horário comercial, ou com sessões simultâneas de localizações geograficamente distantes. A telemetria inclui eventos de logon do Windows (Event ID 4624, 4625, 4648), logs do controlador de domínio com autenticações Kerberos/NTLM e alertas de User and Entity Behavior Analytics (UEBA) que identificam padrões de acesso atípicos para a conta. Essa detecção é fundamental para identificar uso de credenciais comprometidas, pois adversários frequentemente utilizam contas legítimas para movimentação lateral, dificultando a diferenciação de atividade maliciosa sem análise comportamental. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] --- *Fonte: [MITRE ATT&CK — AN0590](https://attack.mitre.org/detectionstrategies/DET0210#AN0590)*