# AN0750 — Analytic 0750 ## Descrição Esta analítica detecta em Windows logon via RDP ou WMI por uma conta de usuário seguido de execução de comandos incomuns, manipulação de arquivos ou conexões laterais de rede. A telemetria inclui logs de autenticação do Windows (Event ID 4624, 4648), eventos de criação de processos do Sysmon (Event ID 1) e logs de rede para conexões RDP e WMI (porta 3389, 135). A detecção é fundamental para identificar movimento lateral usando contas legítimas comprometidas, que é uma das técnicas mais comuns em ataques de ransomware e espionagem corporativa. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0750](https://attack.mitre.org/detectionstrategies/DET0269#AN0750)*