# DC0016 - Logon Session Creation
> [!info] Registra o estabelecimento de novas sessões após autenticação bem-sucedida. Fundamental para detectar uso abusivo de credenciais válidas, Pass-the-Hash, Pass-the-Ticket e movimentação lateral via serviços remotos.
## Descrição
Logon Session Creation registra o estabelecimento bem-sucedido de novas sessões de usuário após autenticação válida. Diferente da autenticação (que registra tentativas), este componente foca nas sessões efetivamente criadas, incluindo o tipo de logon, credenciais utilizadas e o contexto de segurança associado. É fundamental para rastrear uso de credenciais válidas por adversários, detecção de Pass-the-Hash, Pass-the-Ticket e análise de padrões de acesso remoto após comprometimento.
## Fonte de Dados
Parent: [[ds0028-logon-session|DS0028 - Logon Session]]
## Pipeline de Detecção
```mermaid
graph TB
A["🔑 Event ID 4624<br/>Logon Bem-Sucedido"] --> B["🔢 Logon Type<br/>Classificado"]
B --> C{"🎯 Tipo de<br/>Logon"}
C -->|Type 9 NewCreds| D["🚨 Possível PTH<br/>Pass-the-Hash"]
C -->|Type 3 Network| E{"🌐 IP Origem<br/>Esperado?"}
C -->|Type 10 RDP| F["📋 Sessão RDP<br/>Registrada"]
E -->|Externo| G["🚨 Acesso Remoto<br/>Suspeito"]
E -->|Interno Normal| H["✔️ Logon<br/>Legítimo"]
classDef alert fill:#e74c3c,color:#ecf0f1
classDef ok fill:#2ecc71,color:#2c3e50
classDef info fill:#3498db,color:#ecf0f1
classDef proc fill:#2c3e50,color:#ecf0f1
class D,G alert
class H ok
class F info
class A,B,C,E proc
```
## O Que Monitorar
- Windows Event ID 4624 (logon bem-sucedido) com Logon Type
- Logon Type 3 (Network) de IPs externos ou workstations incomuns
- Logon Type 9 (NewCredentials) - típico de Pass-the-Hash e runas /netonly
- Logon Type 10 (RemoteInteractive) - sessões RDP
- Logon Type 5 (Service) - serviços criados com credenciais de usuário
- Múltiplas sessões concorrentes para o mesmo usuário em hosts diferentes
- Sessões criadas fora do horário de trabalho do usuário
## Técnicas Detectadas
| Técnica | ID | Como Detectar |
|---------|-----|---------------|
| Valid Accounts | [[t1078-valid-accounts\|T1078]] | Sessões legítimas criadas em horários/locais atípicos |
| Use Alternate Authentication Material | [[t1550-use-alternate-authentication-material\|T1550]] | Logon Type 3 sem evento de autenticação correspondente |
| Remote Services | [[t1021-remote-services\|T1021]] | Sessões RDP (Type 10) ou WinRM (Type 3) laterais |
| Access Token Manipulation | [[t1134-access-token-manipulation\|T1134]] | Logon Type 9 seguido de ações privilegiadas |
| Modify Authentication Process | [[t1556-modify-authentication-process\|T1556]] | Sessões criadas via auth provider modificado |
## Implementação
**Windows Event Log - política de auditoria:**
```
Computer Configuration > Windows Settings > Security Settings >
Advanced Audit Policy > Logon/Logoff > Audit Logon (Success and Failure)
```
**SIEM - detecção de sessões suspeitas:**
```
index=windows EventCode=4624
| eval logon_type=mvindex(split(Message,"Logon Type:"),1)
| where logon_type="3" AND src_ip!="127.0.0.1"
| stats count by src_ip, user, dest_host
```
**Monitorar com Microsoft Defender for Identity** para correlação automática de sessões com padrões de ataque (Pass-the-Hash, Golden Ticket, etc.).
**Ferramentas:** Microsoft Defender for Identity, Splunk Enterprise Security, Elastic SIEM, QRadar, ArcSight, LogRhythm.
## Consultas KQL — Microsoft Sentinel / Defender
### Logon Type 9 - Indicador de Pass-the-Hash
```kql
// DC0016 - Logon Type 9 (NewCredentials) - padrão comum de Pass-the-Hash
SecurityEvent
| where TimeGenerated > ago(1d)
| where EventID == 4624
| where LogonType == 9
| where AccountName !endswith "
quot; // Excluir contas de máquina
| where AccountName !contains "ANONYMOUS"
| summarize
session_count = count(),
target_hosts = make_set(Computer, 20),
first_seen = min(TimeGenerated),
last_seen = max(TimeGenerated)
by AccountName, IpAddress, WorkstationName
| where session_count > 2
| order by session_count desc
```
### Sessões Simultâneas em Múltiplos Hosts (Lateral Movement)
```kql
// DC0016 - Mesmo usuário com sessões ativas em múltiplos hosts em curto período
SecurityEvent
| where TimeGenerated > ago(6h)
| where EventID == 4624
| where LogonType in (3, 10) // Network ou RemoteInteractive
| where AccountName !endswith "quot;
| summarize
unique_hosts = dcount(Computer),
host_list = make_set(Computer, 10),
logon_types = make_set(LogonType, 5)
by AccountName, bin(TimeGenerated, 30m)
| where unique_hosts >= 3
| order by unique_hosts desc
```
## Contexto LATAM
> [!latam] Relevância Regional
> **Credenciais válidas são o vetor dominante de comprometimento em organizações brasileiras.** Segundo o relatório Tempest Security 2024, mais de 60% dos incidentes de ransomware no Brasil iniciaram com uso de credenciais válidas roubadas — frequentemente via **infostealer** (Redline, Raccoon) ou **credential stuffing** em portais VPN. Grupos que atacam o setor financeiro e governamental brasileiro exploram exaustivamente o Logon Type 3 e 10 para movimentação lateral discreta. O **Microsoft Defender for Identity** (anteriormente Azure ATP) é recomendado para organizações com Active Directory no Brasil, pois detecta automaticamente padrões de **Golden Ticket** e **Pass-the-Hash** — ataques comuns em redes corporativas da região.
## Referências
- [MITRE ATT&CK - DS0028 Logon Session](https://attack.mitre.org/datasources/DS0028/)
- [Windows Event ID 4624 - Microsoft](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624)
- [Microsoft Defender for Identity](https://learn.microsoft.com/en-us/defender-for-identity/what-is)
- [Tempest Security Intelligence Report 2024](https://www.tempest.com.br/blog)