# AN1604 — Analytic 1604 ## Descrição Esta analítica detecta criação de contas locais ou de domínio por adversários utilizando ferramentas nativas do SO, como `net user`, cmdlets PowerShell ou snap-ins MMC, para estabelecer persistência ou facilitar movimento lateral. A telemetria primária é o Event ID 4720 (Windows Security Log) correlacionado com linhagem de processos e contexto do usuário que executou a criação. A detecção é importante porque a criação de contas não autorizadas é uma técnica de persistência clássica utilizada por APTs e operadores de ransomware para garantir acesso continuado ao ambiente comprometido. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1604](https://attack.mitre.org/detectionstrategies/DET0583#AN1604)*