# AN0016 — Analytic 0016 ## Descrição Detecta o uso de nltest, PowerShell ou APIs Win32/.NET para enumerar relacionamentos de confiança de domínio via DSEnumerateDomainTrusts, GetAllTrustRelationships ou consultas LDAP, geralmente seguido de descoberta de recursos ou preparação para autenticação entre domínios. A telemetria inclui logs de eventos do Windows (Event ID 4776, 4769), tráfego LDAP monitorado e dados de EDR que correlacionam execução de ferramentas de reconhecimento com atividade de autenticação subsequente. Esse analítico é fundamental para detectar a fase de reconhecimento de ataques que visam movimentação lateral entre domínios e florestas do Active Directory. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1482-domain-trust-discovery|T1482 — Domain Trust Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0016](https://attack.mitre.org/detectionstrategies/DET0007#AN0016)*