# AN0152 — Analytic 0152 ## Descrição Detecta tentativas de adversários de enumerar configurações de Group Policy através de execução suspeita de gpresult, enumeração PowerShell com Get-DomainGPO ou Get-DomainGPOLocalGroup (ferramentas PowerView), e consultas LDAP anômalas visando objetos groupPolicyContainer em controladores de domínio. A telemetria inclui logs do Sysmon (Event ID 1 para execução de gpresult e scripts PowerView), logs de auditoria LDAP do Active Directory (Event ID 1644 e 4662), e análise de comportamento de conta para identificar usuários não-privilegiados realizando enumeração de GPO. Este analítico é importante para detectar a fase de reconhecimento interno de ataques de Active Directory, onde adversários mapeiam políticas de grupo para identificar configurações de segurança, restrições de software e caminhos de escalação de privilégio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1615-group-policy-discovery|T1615 — Group Policy Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1482-domain-trust-discovery|T1482 — Domain Trust Discovery]] --- *Fonte: [MITRE ATT&CK — AN0152](https://attack.mitre.org/detectionstrategies/DET0055#AN0152)*