# DS0036 — Group ## Descrição **Group** (Grupo) é uma coleção de múltiplas contas de usuário que compartilham os mesmos direitos de acesso a recursos de computadores e/ou redes, além de direitos de segurança comuns. Em ambientes Windows com Active Directory, grupos são o mecanismo central de controle de acesso: grupos de segurança como `Domain Admins`, `Enterprise Admins` e `Backup Operators` controlam permissões críticas sobre o domínio inteiro. Em ambientes de nuvem e SaaS, grupos de IAM, grupos do Microsoft Entra ID (Azure AD), grupos do Google Workspace e roles de provedores de identidade desempenham função equivalente. A relevância desta fonte de dados para detecção é direta: adversários que obtêm acesso inicial frequentemente escalame privilégios adicionando contas controladas a grupos privilegiados, ou criam novos grupos com permissões elevadas para estabelecer persistência discreta. A enumeração de grupos também é um passo padrão no reconhecimento pré-movimento-lateral — identificar quais contas pertencem a grupos administrativos orienta o atacante sobre quais credenciais são mais valiosas para comprometer. No contexto brasileiro, o abuso de grupos privilegiados do Active Directory é um componente recorrente em ataques de ransomware documentados contra organizações financeiras, hospitalares e de infraestrutura crítica. O padrão é consistente: comprometer uma conta de helpdesk, adicionar ao grupo `Domain Admins`, propagar o payload via GPO ou PsExec. A detecção desta sequência depende diretamente da monitoração de eventos de modificação de grupo com alta fidelidade. ## Visão Geral ### Microsoft Entra ID (Azure AD) — Audit Logs ```kql -- Microsoft Sentinel / Log Analytics AuditLogs | where OperationName in ( "Add member to group", "Add owner to group", "Remove member from group", "Creaté group", "Delete group" ) | extend ActorUPN = tostring(InitiatedBy.user.userPrincipalName), TargetGroup = tostring(TargetResources[0].displayName), ModifiedMember = tostring(TargetResources[1].userPrincipalName) | where TargetGroup has_any ("Admin", "Global", "Privileged", "Security") | project TimeGenerated, ActorUPN, OperationName, TargetGroup, ModifiedMember | order by TimeGenerated desc ``` ### Google Workspace — Admin SDK Audit ``` # Eventos críticos via Admin SDK Reports API: # - GROUP_CHANGE_MEMBER_ROLE # - GROUP_CHANGE_OWNER # - GROUP_CREATE / GROUP_DELETE # - UPDATE_GROUP_MEMBER gcloud logging read \ 'logName="organizations/ORG_ID/logs/cloudaudit.googleapis.com%2Factivity" \ AND protoPayload.methodName="groups.patch"' \ --format=json ``` ### Enumeração — Detecção de Reconhecimento Comandos tipicamente usados por adversários para enumerar grupos — monitorar via Process Creation (Sysmon Event ID 1): ``` net group /domain net localgroup net group "Domain Admins" /domain Get-ADGroup -Filter * | Select-Object Name, GroupScope, GroupCategory dsquery group -limit 0 ldapsearch -x -b "DC=corp,DC=local" "(objectClass=group)" ``` ### Integração com SIEM | SIEM | Método | Observações | |---|---|---| | **Microsoft Sentinel** | SecurityEvent (Event IDs 4728–4764) + Entra ID Audit Logs | Usar UEBA para baseline de modificações de grupo por usuário | | **Splunk** | `WinEventLog:Security EventCode=4728 OR 4756 OR 4732` | Correlacionar com horário, IP de origem e conta que fez a modificação | | **Elastic (ECS)** | Winlogbeat Security channel + Azure module | `event.code:(4728 OR 4756)` com alerta para grupos críticos | | **CrowdStrike Falcon** | Identity Protection — monitora modificações AD em tempo real | Cobertura nativa com scoring de risco por conta | ## Pipeline de Coleta ```mermaid graph TB A["👥 Fontes de Grupos<br/>Active Directory DC<br/>Entra ID · Google Workspace"] --> B["📋 Security Event Log<br/>EID 4728 · 4732 · 4756<br/>Adição a grupos críticos"] A --> C["☁️ Audit Logs Cloud<br/>Entra ID Audit Logs<br/>Google Admin SDK · Okta"] B --> D["📡 WEF / Beats Agent<br/>Windows Event Forwarding<br/>NXLog · Winlogbeat"] C --> D D --> E["📦 SIEM / UEBA<br/>Sentinel · Splunk · Elastic"] E --> F["🚨 Alertas de Grupo<br/>Adição a Domain Admins<br/>Reconhecimento LDAP · PIM"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | Group Modification | [[dc0094-group-modification\|DC0094]] | Alteração de membros ou atributos de um grupo (adição/remoção de membros, renomeação) | | Group Enumeration | [[dc0099-group-enumeration\|DC0099]] | Listagem de grupos existentes e seus membros (reconhecimento pré-ataque) | | Group Metadata | [[dc0105-group-metadata\|DC0105]] | Leitura de atributos de grupos — descrição, SID, data de criação, permissões | ## Como Coletar ### Windows Active Directory — Event IDs Críticos Habilitar via Group Policy: **Advanced Audit Policy → Account Management**: ``` ✅ Audit Security Group Management ✅ Audit Distribution Group Management ✅ Audit Computer Account Management ✅ Audit User Account Management ``` **Event IDs essenciais:** | Event ID | Log | Descrição | Prioridade | |---|---|---|---| | **4728** | Security | Membro adicionado a grupo de segurança **global** | Crítica | | **4729** | Security | Membro removido de grupo de segurança global | Alta | | **4732** | Security | Membro adicionado a grupo de segurança **local** | Alta | | **4733** | Security | Membro removido de grupo de segurança local | Alta | | **4756** | Security | Membro adicionado a grupo de segurança **universal** | Alta | | **4757** | Security | Membro removido de grupo de segurança universal | Alta | | **4727** | Security | Grupo de segurança global criado | Alta | | **4730** | Security | Grupo de segurança global excluído | Alta | | **4754** | Security | Grupo de segurança universal criado | Alta | | **4764** | Security | Tipo de grupo alterado (ex: distribution → security) | Alta | > [!tip] Grupos de Alta Prioridade para Monitorar > Crie alertas imediatos para qualquer `EventID 4728`/`4756` onde o `TargetUserName` (grupo alvo) sejá: `Domain Admins`, `Enterprise Admins`, `Schema Admins`, `Group Policy Creator Owners`, `Administrators`, ou qualquer grupo com `AdminSDHolder` aplicado. ## Técnicas Detectadas | Técnica | Descrição | |---|---| | [[t1069-permission-groups-discovery\|T1069 — Permission Groups Discovery]] | Enumeração de grupos de segurança para identificar contas privilegiadas antes de movimento lateral | | [[t1069-002-domain-groups\|T1069.002 — Domain Groups]] | Descoberta específica de grupos de domínio AD como `Domain Admins` e `Enterprise Admins` | | [[t1098-007-additional-local-or-domain-groups\|T1098.007 — Additional Local or Domain Groups]] | Adição de conta controlada pelo adversário a grupos privilegiados para escalonamento de privilégios e persistência | | [[t1484-001-group-policy-modification\|T1484.001 — Group Policy Modification]] | Modificação de GPOs vinculadas a grupos de segurança para execução de código em massa | | [[t1078-002-domain-accounts\|T1078.002 — Domain Accounts]] | Uso de contas de domínio com memberships em grupos privilegiados para movimentação lateral sem levantar alertas | ## Gaps de Cobertura Brasil/LATAM > [!danger] Gap Crítico — Audit de Grupos Desabilitado por Padrão > A política `Audit Security Group Management` não é habilitada por padrão no Windows Server. Em ambientes brasileiros sem hardening de baseline, modificações em `Domain Admins` são completamente invisíveis no SIEM — um atacante pode adicionar uma conta de backdoor ao grupo e o SOC nunca saberá. **Lacunas mais críticas identificadas:** 1. **Grupos legados com privilégios excessivos:** Ambientes Active Directory antigos (10+ anos, comuns em indústria, governo e saúde no Brasil) acumulam grupos com permissões mal documentadas. Frequentemente há grupos com acesso equivalente a `Domain Admins` criados por projetos encerrados que nunca foram removidos. 2. **Ausência de Just-in-Time (JIT) access:** Contas de administradores ficam permanentemente nos grupos privilegiados, ampliando a janela de exposição. A adoção de Privileged Identity Management (PIM) no Azure AD ou PAM on-prem é baixa fora do setor financeiro. 3. **Sem alertas para grupos de AD críticos:** Mesmo quando a auditoria está habilitada, poucos SOCs brasileiros têm regras de correlação específicas para modificações nos grupos `Domain Admins`, `Enterprise Admins` e `Backup Operators` — os três grupos que um adversário precisa controlar para dominar um domínio AD. 4. **Enumeração LDAP sem restrição:** A maioria dos ambientes AD permite que qualquer usuário autenticado enumere todos os grupos via LDAP sem restrição, fornecendo ao atacante um mapa completo dos grupos privilegiados imediatamente após comprometer qualquer conta de usuário comum. **Recomendações para contexto LATAM:** - Habilitar `Audit Security Group Management` imediatamente em todos os Domain Controllers - Criar alerta de alta prioridade (P1) para qualquer adição a `Domain Admins`, `Enterprise Admins`, `Schema Admins` - Implementar AD Tiering Model (Tier 0/1/2) para isolar contas administrativas críticas - Revisar e remover grupos legados sem owner definido e sem uso nos últimos 90 dias - Restringir LDAP enumeration anônima e considerar `LDAP signing + channel binding` para proteger queries de grupo ## Referências - [[dc0094-group-modification|DC0094 — Group Modification]] — adição/remoção de membros em grupos de segurança - [[dc0099-group-enumeration|DC0099 — Group Enumeration]] — reconhecimento de grupos e memberships - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] — técnica de reconhecimento de grupos - [[t1098-007-additional-local-or-domain-groups|T1098.007 — Additional Local or Domain Groups]] — persistência via adição a grupos privilegiados - [[m1026-privileged-account-management|M1026 — Privileged Account Management]] — mitigação principal: gerenciamento de grupos privilegiados - [[m1032-multi-factor-authentication|M1032 — Multi-Factor Authentication]] — reduz impacto de conta comprometida mesmo com membership em grupo admin --- *Fonte: [MITRE ATT&CK — DS0036](https://attack.mitre.org/datasources/DS0036)*