# AN1138 — Analytic 1138 ## Descrição Detecta logons interativos ou de serviço por contas locais fora do contexto operacional esperado ou em horários anômalos, utilizando logs de autenticação do sistema como `/var/log/auth.log`, `/var/log/secure` e registros de auditd. A telemetria correlaciona eventos de PAM, tentativas de login via SSH e sudo, e sessões abertas com horários e padrões de uso esperados para cada conta. Esse analítico é relevante porque contas locais comprometidas ou criadas por adversários são mecanismos comuns de persistência e acesso pós-comprometimento em servidores Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1138](https://attack.mitre.org/detectionstrategies/DET0407#AN1138)*