# AN0954 — Analytic 0954 ## Descrição Detecta uso de tickets Kerberos roubados ou impersonação de tokens resultando em sessões de logon de contas sem eventos de logon interativo esperados. A telemetria inclui logs de autenticação do Windows (Event IDs 4624, 4768, 4769), análise de anomalias em padrões de logon e detecção de uso de credenciais sem sessão de logon interativo correspondente. Essa analítica é essencial para identificar ataques de Pass-the-Ticket e Golden/Silver Ticket utilizados por grupos como Lazarus e APT29. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0954](https://attack.mitre.org/detectionstrategies/DET0338#AN0954)*