# AN1137 — Analytic 1137 ## Descrição Detecta uso anômalo de contas locais para logon em sistemas, especialmente contas normalmente não utilizadas de forma interativa ou acessadas fora do horário comercial. A telemetria inclui eventos de segurança do Windows (Event ID 4624, 4625 para logon, 4648 para logon com credenciais explícitas) e logs de serviços de autenticação para identificar padrões de acesso fora do baseline estabelecido. A detecção de logons anômalos com contas locais é crítica porque adversários frequentemente utilizam contas legítimas mas pouco monitoradas para movimentação lateral ou manutenção de acesso persistente. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN1137](https://attack.mitre.org/detectionstrategies/DET0407#AN1137)*