# AN0871 — Analytic 0871 ## Descrição Esta analítica detecta correlação multi-evento de criação de registro no Active Setup com execução anômala de processos no logon do usuário. Os padrões comportamentais incluem criação/modificação de chaves Active Setup em HKLM com valores StubPath não padrão, seguida de execução de processos a partir de caminhos incomuns, binários não assinados ou linhagem pai-filho incomum pós-login do usuário. A telemetria utilizada inclui logs de registro do Sysmon (Event IDs 12, 13) e logs de criação de processos (Event ID 1) correlacionados com eventos de logon (Event ID 4624). Esta detecção é importante pois o abuso do Active Setup é uma técnica de persistência por logon menos conhecida, usada por APTs como uma alternativa a Run keys para evitar detecções baseadas em heurísticas comuns. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1547-001-registry-run-keys|T1547.001 — Registry Run Keys / Startup Folder]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0871](https://attack.mitre.org/detectionstrategies/DET0312#AN0871)*