# AN1313 — Analytic 1313 ## Descrição Detecta adversários usando WinRM para executar comandos remotamente, iniciar processos filhos ou acessar WMI, com cadeia de detecção que inclui uso do serviço WinRM, atividade de rede nas portas 5985/5986, logon de sessão remota e criação de processo dentro de uma janela temporal curta. A telemetria inclui eventos de logon de rede (Event IDs 4624/4625), logs de sessão WinRM, eventos de criação de processos originados de `wsmprovhost.exe` e análise de tráfego nas portas WinRM. Esta detecção é essencial para identificar movimentação lateral via WinRM, uma técnica comum de adversários que já possuem credenciais válidas e buscam expandir seu acesso horizontalmente pela rede interna de forma silenciosa. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1021-006-windows-remote-management|T1021.006 — Windows Remote Management]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] --- *Fonte: [MITRE ATT&CK — AN1313](https://attack.mitre.org/detectionstrategies/DET0477#AN1313)*