# AN0591 — Analytic 0591 ## Descrição Este analítico detecta uso de contas de domínio via sssd ou winbind para atividade de logon em Linux fora de padrões típicos, especialmente em sistemas sensíveis ou com ferramentas de movimentação lateral. A telemetria inclui logs de autenticação Linux (`/var/log/auth.log`, `journald`), eventos de autenticação sssd/winbind, e alertas de SIEM que correlacionam logons de contas de domínio em sistemas Linux com horários ou origens incomuns. Essa detecção é relevante em ambientes de identidade híbrida onde sistemas Linux integrados ao Active Directory são alvo de adversários que comprometem credenciais de domínio e as utilizam para se mover lateralmente de ambientes Windows para infraestrutura Linux crítica. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0591](https://attack.mitre.org/detectionstrategies/DET0210#AN0591)*