# AN1344 — Analytic 1344 ## Descrição Detecta a cadeia comportamental de acesso via conta de terceiro ou fonte não confiável: (1) login de conta de terceiro ou rede não confiável estabelece sessão interativa/remota; (2) a sessão adquire privilégios elevados ou acessa recursos sensíveis atípicos para aquela conta; (3) movimentação lateral ou acesso a dados ocorre na mesma sessão/dispositivo. Correlaciona eventos de logon do Windows, elevação de token/uso privilegiado e acesso a recursos com contexto de terceiro. A telemetria inclui eventos de logon (Event ID 4624/4648), acesso privilegiado (Event IDs 4672/4673) e logs de acesso a recursos sensíveis. Esta detecção identifica abuso de contas de parceiros ou fornecedores comprometidas que são utilizadas para comprometer ambientes internos explorando relações de confiança estabelecidas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1344](https://attack.mitre.org/detectionstrategies/DET0488#AN1344)*