# AN0317 — Analytic 0317 ## Descrição Esta analítica detecta tentativas de enumerar grupos locais via `Net.exe`, PowerShell ou chamadas de API nativas que precedem movimentação lateral ou abuso de privilégios. A telemetria inclui logs de criação de processo (Sysmon Event ID 1) para execuções de `net localgroup`, eventos de chamadas WinAPI como `NetLocalGroupEnum` e consultas LDAP ao Active Directory. A detecção é relevante pois a enumeração de grupos locais é etapa de reconhecimento pós-exploração padrão que precede ataques de escalada de privilégios e movimentação lateral em redes Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1069-001-local-groups|T1069.001 — Local Groups]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-001-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0317](https://attack.mitre.org/detectionstrategies/DET0114#AN0317)*