# AN1034 — Analytic 1034 ## Descrição Este analítico detecta manipulação adversarial de scripts de logon de rede via Group Policy, correlacionando atualizações de GPO que configuram scripts de logon de rede com comportamentos de execução remota de arquivo subsequentes disparados por logons de usuário, para identificar cadeias de persistência ou execução vinculadas à manipulação de scripts de inicialização. A telemetria utilizada inclui eventos de modificação de GPO (EID 5136 no controlador de domínio), eventos de criação de processos no logon do usuário (EID 4688) com processo pai ligado a scripts de logon e logs de SYSVOL para modificações em scripts de netlogon. A detecção é importante porque scripts de logon via GPO são uma técnica de persistência privilegiada que permite execução em múltiplos hosts do domínio simultaneamente, frequentemente usada por atacantes após comprometimento do controlador de domínio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1034](https://attack.mitre.org/detectionstrategies/DET0367#AN1034)*