# DET0003 — T1136.002 Detection Strategy - Domain Account Creation Across Platforms ## Descrição Esta estratégia detecta a criação de contas de domínio por atacantes que buscam estabelecer persistência ou facilitar movimentação lateral em ambientes Active Directory e diretórios equivalentes (Azure AD / Entra ID, LDAP). A criação de contas de domínio — especialmente fora de processos de provisionamento aprovados — é um forte indicador de comprometimento em fase avançada. O monitoramento deve abranger eventos de auditoria do Windows (Event ID 4720 — criação de conta), logs do Azure AD (AuditLogs com operação "Add user"), e registros de API de diretórios em nuvem. Contas criadas fora do horário comercial, por usuários sem privilégios de administração de identidade, ou com nomes que imitam contas de serviço existentes merecem aténção imediata. A correlação entre criação de conta e adição subsequente a grupos privilegiados (Event ID 4728, 4732) é o padrão de maior fidelidade para identificar abuso real versus provisionamento legítimo. ## Indicadores de Detecção - Event ID 4720 (Windows) gerado por conta que não pertence à equipe de TI/identidade - Criação de conta de domínio fora do horário comercial ou em fins de semana - Nova conta adicionada a grupos privilegiados (Domain Admins, Enterprise Admins) logo após criação - Nome de conta seguindo padrão de contas de serviço ou administrativas existentes (typosquatting interno) - Criação de conta seguida de logon imediato a partir de IP externo ou não habitual ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0006-analytic-0006|AN0006 — Analytic 0006]] - [[an0007-analytic-0007|AN0007 — Analytic 0007]] - [[an0008-analytic-0008|AN0008 — Analytic 0008]] --- *Fonte: [MITRE ATT&CK — DET0003](https://attack.mitre.org/detectionstrategies/DET0003)*