# AN1004 — Analytic 1004 ## Descrição Este analítico detecta acessos remotos externos não usuais ou não autorizados (RDP, VPN, Citrix) correlacionando tentativas de login repetidas com falha seguidas de uma sessão bem-sucedida a partir de geolocalizações incomuns ou fora do horário comercial, seguidas de movimento lateral interno ou atividades de exfiltração. A telemetria utilizada inclui logs de VPN, eventos de autenticação RDP (EID 4624, 4625, 4776), registros de gateway Citrix e alertas de UEBA para baseline de comportamento de login. A detecção é crítica para identificar o uso de credenciais comprometidas em acesso inicial via serviços de acesso remoto — um dos vetores de entrada mais comuns para ataques de ransomware, incluindo campanhas direcionadas ao setor financeiro brasileiro. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1004](https://attack.mitre.org/detectionstrategies/DET0354#AN1004)*