dc0002-user-account-authentication

# DC0002 — User Account Authentication ## Descrição O componente **User Account Authentication** registra tentativas de acesso — bem-sucedidas ou falhas — por usuários, serviços ou aplicações a sistemas, redes e recursos em nuvem. Esse componente é fundamental para detectar ataques de força bruta, spray de senhas, uso de credenciais comprometidas e manipulação de mecanismos de autenticação. Eventos de autenticação envolvem a válidação de credenciais como senhas, tokens, certificados, MFA ou biometria. Cada tentativa — independentemente do resultado — gera um registro auditável que permite rastrear padrões anômalos de acesso ao longo do tempo. A coleta desse componente é especialmente crítica em ambientes híbridos (on-premises + nuvem), onde adversários frequentemente exploram identidades legítimas para movimentação lateral. O monitoramento contínuo dos eventos de autenticação é uma das fontes de maior valor para um SOC, diretamente ligada à detecção precoce de comprometimento de contas. Correlacionar autenticações com comportamento histórico do usuário — horários habituais, localização, dispositivo — permite identificar uso anômalo de contas válidas ([[t1078-valid-accounts|T1078-valid-accounts]]) antes que danos sejam causados. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4624 | Logon bem-sucedido | Security.evtx | | Windows | 4625 | Falha de logon | Security.evtx | | Windows | 4648 | Logon com credenciais explícitas | Security.evtx | | Windows | 4771 | Falha de pré-autenticação Kerberos | Security.evtx | | Windows | 4776 | Autenticação NTLM (DC) | Security.evtx | | Linux | — | Sucesso/falha SSH | /var/log/auth.log | | Linux | — | Falha PAM | /var/log/secure | | Azure AD | SignInLogs | Login interativo e não-interativo | Azure Monitor | | Azure AD | AADNonInteractiveUserSignInLogs | Autenticação silenciosa de apps | Azure Monitor | | AWS | ConsoleLogin | Acesso ao console AWS | CloudTrail | | Google Workspace | login | Evento de login | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Múltiplas falhas seguidas de sucesso (Password Spray) ```kql let threshold = 10; SigninLogs | where TimeGenerated > ago(1h) | where ResultType != "0" | summarize FailureCount = count(), Users = dcount(UserPrincipalName) by IPAddress, bin(TimeGenerated, 10m) | where FailureCount >= threshold and Users >= 5 | join kind=inner ( SigninLogs | where ResultType == "0" ) on IPAddress | project IPAddress, FailureCount, Users, TimeGenerated | order by FailureCount desc ``` ### SPL — Splunk: Brute Force por host de origem ```spl index=wineventlog EventCode=4625 | stats count as failures by src_ip, user, host | where failures > 20 | join user [ search index=wineventlog EventCode=4624 | stats count as successes by user, src_ip ] | where successes > 0 | table src_ip, user, failures, successes | sort -failures ``` ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078-valid-accounts]] — Uso de contas válidas para acesso não autorizado; eventos de autenticação revelam logins de contas comprometidas - [[t1110-brute-force|T1110-brute-force]] — Tentativas repetidas de autenticação com credenciais variadas; detectado via volume de Event ID 4625 - [[t1556-modify-authentication-process|T1556-modify-authentication-process]] — Modificação dos mecanismos de autenticação para capturar credenciais ou permitir bypass - [[t1621-multi-factor-authentication-request-generation|T1621-multi-factor-authentication-request-generation]] — Geração massiva de solicitações MFA para fadiga do usuário (MFA fatigue) ## Contexto LATAM > [!globe] Relevância Regional > No Brasil, ataques de credential stuffing e brute force contra portais bancários e sistemas governamentais são frequentes, com grupos como [[prilex]] e operadores de RATs brasileiros utilizando credenciais compradas em fóruns underground. SOCs brasileiros geralmente têm acesso a logs de Windows e Azure AD, mas cobertura de autenticação em ambientes Linux e AWS ainda é inconsistente nas organizações de médio porte. A integração com o [[ds0028-logon-session|DS0028 — Logon Session]] amplifica a capacidade de correlação. ## Referências - [MITRE ATT&CK — DC0002: User Account Authentication](https://attack.mitre.org/datasources/DS0002/#User%20Account%20Authentication) - [[ds0002-user-account|DS0002 — User Account]] - [[t1078-valid-accounts|T1078-valid-accounts]] - [[t1110-brute-force|T1110-brute-force]] - [[_data-sources]] - [[_detections]]