# AN1543 — Analytic 1543 ## Descrição Este analítico detecta comprometimento ou uso indevido de contas válidas no Windows por meio de padrões anômalos de logon, tipos de logon incomuns (como Logon Type 10 remoto em contas de serviço) e atividade inconsistente geograficamente ou baseada em horário. A telemetria provém dos Windows Security Event Logs (IDs 4624, 4625, 4648, 4768) que registram detalhes completos de autenticação incluindo tipo de logon, IP de origem e nome da estação de trabalho. A detecção é fundamental para identificar uso de credenciais roubadas, Golden Ticket Kerberos, Pass-the-Hash e outras técnicas de lateral movement que abusam de contas legítimas para evitar detecção por ferramentas baseadas em assinatura. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1021-lateral-movement|T1021 — Remote Services]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] --- *Fonte: [MITRE ATT&CK — AN1543](https://attack.mitre.org/detectionstrategies/DET0560#AN1543)*