dc0088-logon-session-metadata

# DC0088 — Logon Session Metadata ## Descrição O componente **Logon Session Metadata** compreende dados contextuais sobre uma sessão de logon ativa — incluindo username, tipo de logon, tokens de acesso, SIDs de usuário e de sessão, identificadores de logon (LUID), pacote de autenticação utilizado, e outras informações associadas à sessão. Esses metadados são fundamentais para detectar manipulação de tokens de acesso e uso anômalo de sessões. No Windows, cada logon cria um contexto de segurança representado por um Access Token que contém o SID do usuário, SIDs de grupos, privilégios e o identificador de logon (LUID). Adversários que comprometem processos podem injetar ou duplicar tokens de outros processos para elevar privilégios ou impersonar outros usuários sem autenticação ([[t1134-access-token-manipulation|T1134-access-token-manipulation]]). Ferramentas como Mimikatz e CobaltStrike implementam essas técnicas amplamente. A análise de metadados de sessão é especialmente valiosa para detectar: sessões com pacote de autenticação NTLM onde Kerberos seria esperado (indicativo de Pass-the-Hash), sessões com LUID duplicado em múltiplos processos (token duplication), e sessões com SIDs de grupos inconsistentes com o histórico do usuário (Golden Ticket com grupos arbitrários). O Event ID 4624 inclui metadados de sessão no campo de dados, enquanto ferramentas de EDR fornecem visibilidade em tempo real sobre os tokens de acesso associados a cada processo. A correlação com [[dc0067-logon-session-creation]] complementa a detecção com o contexto temporal da criação da sessão. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4624 | Logon com metadados completos de sessão | Security.evtx | | Windows | 4672 | Privilégios especiais atribuídos ao logon | Security.evtx | | Windows | 4675 | SIDs filtrados durante logon | Security.evtx | | Windows | 4696 | Token primário atribuído a processo | Security.evtx | | EDR | — | Enumeração de tokens de acesso de processo | EDR telemetry | | Azure AD | SignInLogs | Metadados de sessão (device, location, app) | Azure Monitor | | Linux | — | Contexto de sessão PAM | /var/log/auth.log | ## Queries de Detecção ### KQL — Azure Sentinel: Sessão com autenticação NTLM em ambiente Kerberos ```kql SecurityEvent | where TimeGenerated > ago(24h) | where EventID == 4624 | extend AuthPackage = tostring(parse_json(EventData).AuthenticationPackageName) | extend LogonType = tostring(parse_json(EventData).LogonType) | extend Account = tostring(parse_json(EventData).TargetUserName) | extend SourceIP = tostring(parse_json(EventData).IpAddress) | where AuthPackage == "NTLM" and LogonType in ("3", "10") | where Account !endswith "quot; // Exclui contas de computador | where SourceIP !startswith "127." and SourceIP != "-" | summarize NTLMCount = count(), Sources = make_set(SourceIP) by Account, bin(TimeGenerated, 1h) | where NTLMCount > 5 | project TimeGenerated, Account, NTLMCount, Sources | order by NTLMCount desc ``` ### SPL — Splunk: Atribuição de privilégios especiais a sessão (potencial escalação) ```spl index=wineventlog EventCode=4672 | eval account=mvindex(Account_Name, 1) | search Privileges="*SeDebugPrivilege*" OR Privileges="*SeTakeOwnershipPrivilege*" OR Privileges="*SeImpersonatePrivilege*" | stats count by account, Logon_ID, ComputerName | where NOT (account=*$* OR account="SYSTEM" OR account="LOCAL SERVICE") | table account, Logon_ID, ComputerName, Privileges, count | sort -count ``` ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134-access-token-manipulation]] — Manipulação de tokens de acesso para impersonação ou escalação de privilégios - [[t1078-valid-accounts|T1078-valid-accounts]] — Metadados de sessão revelam padrões anômalos de uso de contas válidas comprometidas - [[t1558-steal-or-forge-kerberos-tickets|T1558-steal-or-forge-kerberos-tickets]] — Sessões com tickets Kerberos forjados apresentam metadados inconsistentes (SIDs, tempo de vida) ## Contexto LATAM > [!globe] Relevância Regional > Técnicas de manipulação de tokens (token impersonation, token duplication) são amplamente utilizadas por ferramentas de pós-exploração como CobaltStrike e Meterpreter, presentes em ataques contra empresas brasileiras. A detecção via Event ID 4672 com filtro de privilégios críticos (SeDebugPrivilege) é uma das detecções de maior relação sinal-ruído em ambientes Windows corporativos brasileiros. EDRs com visibilidade de token inspection complementam os logs de evento tradicionais. ## Referências - [MITRE ATT&CK — DC0088: Logon Session Metadata](https://attack.mitre.org/datasources/DS0028/#Logon%20Session%20Metadata) - [[ds0028-logon-session|DS0028 — Logon Session]] - [[t1134-access-token-manipulation|T1134-access-token-manipulation]] - [[t1078-valid-accounts|T1078-valid-accounts]] - [[_data-sources]] - [[_detections]]