# AN1345 — Analytic 1345 ## Descrição Detecta a cadeia comportamental em Linux: (1) logins via sshd ou SSO federado de redes ou identidades de terceiro; (2) elevação de privilégio rápida via `sudo`/`su`; (3) acesso a caminhos sensíveis ou SSH leste-oeste. Correlaciona logs de autenticação, execução de processos e fluxos de rede. A telemetria inclui logs do sshd e PAM, eventos de auditd para `sudo`/`su`, acesso a arquivos sensíveis e logs de rede para conexões SSH subsequentes a outros hosts internos. Esta detecção identifica adversários que exploram relações de confiança federada em ambientes Linux, utilizando credenciais de terceiros legítimas para estabelecer acesso e depois mover-se lateralmente via SSH interno após escalada de privilégios. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-004-ssh|T1021.004 — SSH]] - [[t1548-003-sudo-and-sudo-caching|T1548.003 — Sudo and Sudo Caching]] --- *Fonte: [MITRE ATT&CK — AN1345](https://attack.mitre.org/detectionstrategies/DET0488#AN1345)*