dc0067-logon-session-creation

# DC0067 — Logon Session Creation ## Descrição O componente **Logon Session Creation** registra o estabelecimento bem-sucedido de uma nova sessão de usuário após autenticação válida. Diferentemente de [[dc0002-user-account-authentication]], que captura tentativas (incluindo falhas), este componente representa sessões efetivamente estabelecidas — o ponto em que um adversário efetivamente ganhou acesso ao sistema. O Windows distingue diferentes tipos de logon pelo campo `Logon Type` no Event ID 4624: tipo 2 (interativo local), tipo 3 (rede), tipo 10 (remote interactive/RDP), tipo 4 (batch), tipo 5 (serviço) e tipo 9 (novo com credenciais). Cada tipo implica riscos diferentes — logons do tipo 3 e 10 são os mais relevantes para movimentação lateral ([[t1021-remote-services|T1021-remote-services]]), enquanto logons tipo 9 (RunAs) podem indicar uso de credenciais alternativas. A detecção de sessões criadas por Pass-the-Hash ou Pass-the-Ticket requer correlação com o tipo de autenticação: sessões NTLM onde Kerberos seria esperado, ou tickets Kerberos de endereços IP incomuns, são indicadores fortes de [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]]. Em ambientes Linux, a criação de sessão é registrada no `/var/log/auth.log` (PAM) e `/var/log/wtmp` (sessões ativas). Em cloud, os logs de sign-in do Azure AD e eventos de login do AWS IAM são equivalentes diretos deste componente. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4624 | Logon bem-sucedido (todos os tipos) | Security.evtx | | Windows | 4648 | Logon com credenciais explícitas (RunAs) | Security.evtx | | Windows | 4779 | Sessão de Remote Desktop desconectada | Security.evtx | | Linux | — | Sessão PAM criada (`session opened`) | /var/log/auth.log | | Linux | — | Registro de sessão ativa | /var/log/wtmp | | macOS | — | Sucesso de autenticação securityd | Unified Log | | Azure AD | SignInLogs | Login interativo bem-sucedido | Azure Monitor | | AWS | ConsoleLogin (sucesso) | Sessão console iniciada | CloudTrail | | Google Workspace | login (successful_login) | Sessão Google iniciada | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Logon RDP de localização incomum para usuário ```kql SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 4624 | where LogonType == 10 | extend SourceIP = tostring(parse_json(EventData).IpAddress) | summarize Sessions = count(), Countries = make_set(tostring(parse_json(EventData).WorkstationName)) by Account, SourceIP, bin(TimeGenerated, 1h) | where Sessions > 3 | project TimeGenerated, Account, SourceIP, Sessions | order by Sessions desc ``` ### SPL — Splunk: Sessões tipo 3 (rede) em DCs fora do horário (movimentação lateral) ```spl index=wineventlog EventCode=4624 Logon_Type=3 | eval ComputerName=lower(ComputerName) | search ComputerName=*dc* OR ComputerName=*domaincontroller* | eval hour=strftime(_time, "%H") | where hour < 7 OR hour > 20 | stats count by Account_Name, Workstation_Name, Source_Network_Address | table Account_Name, Workstation_Name, Source_Network_Address, count | sort -count ``` ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078-valid-accounts]] — Sessões criadas com contas válidas comprometidas são o principal vetor de acesso furtivo - [[t1021-remote-services|T1021-remote-services]] — Sessões de rede (RDP, SMB, WinRM) para movimentação lateral registradas como logon tipo 3 ou 10 - [[t1563-remote-service-session-hijacking|T1563-remote-service-session-hijacking]] — Sequestro de sessões RDP ativas ou legítimas - [[t1550-use-alternate-authentication-material|T1550-use-alternate-authentication-material]] — Sessões criadas via Pass-the-Hash ou Pass-the-Ticket sem senha real ## Contexto LATAM > [!globe] Relevância Regional > No Brasil, o RDP exposto à internet é um vetor primário de acesso inicial documentado em dezenas de incidentes de ransomware. A monitoração de Logon Session Creation (Event ID 4624, tipo 10) com correlação de geolocalização é uma detecção de altíssimo valor para SOCs brasileiros. Organizações que utilizam Azure AD Conditional Access com MFA têm visibilidade adicional via SignInLogs. A presença de logons tipo 3 em Domain Controllers fora do horário comercial deve ser investigada imediatamente. ## Referências - [MITRE ATT&CK — DC0067: Logon Session Creation](https://attack.mitre.org/datasources/DS0028/#Logon%20Session%20Creation) - [[ds0028-logon-session|DS0028 — Logon Session]] - [[t1078-valid-accounts|T1078-valid-accounts]] - [[t1021-remote-services|T1021-remote-services]] - [[_data-sources]] - [[_detections]]