# AN0931 — Analytic 0931 ## Descrição Este analytic detecta logon RDP por um usuário seguido de execução incomum de processo, acesso a arquivos ou atividade de movimentação lateral dentro de um curto período de tempo. A telemetria inclui logs de autenticação do Windows (Event ID 4624 tipo 10), logs de criação de processo subsequentes (Event ID 4688/Sysmon 1) e atividade de rede em portas de administração remota. O RDP é um dos vetores de acesso inicial e movimento lateral mais explorados por grupos de ransomware, com sessions legítimas de helpdesk frequentemente sendo sequestradas ou credenciais comprometidas usadas para estabelecer acesso interativo persistente em ambientes corporativos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1021-002-smb-windows-admin-shares|T1021.001 — Remote Desktop Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN0931](https://attack.mitre.org/detectionstrategies/DET0327#AN0931)*