# AN1612 — Analytic 1612 ## Descrição Esta analítica detecta enumeração suspeita de contas locais ou de domínio via ferramentas de linha de comando (`net user`, `net group`, `whoami /groups`), WMI ou scripts PowerShell, tipicamente executada por adversários durante a fase de reconhecimento interno após comprometimento inicial. A telemetria inclui logs de execução de processos (Sysmon Event ID 1, Event ID 4688), consultas WMI auditadas e blocos de script PowerShell, correlacionados com o contexto de usuário e horário de execução. Detectar essa atividade é importante porque a enumeração de contas precede quase invariavelmente técnicas de movimento lateral e escalada de privilégios. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1612](https://attack.mitre.org/detectionstrategies/DET0587#AN1612)*