# AN0363 — Analytic 0363 ## Descrição Detecta enumeração de contas de domínio por adversários usando `net.exe`, PowerShell, WMI ou consultas LDAP a partir de estações de trabalho que não são controladores de domínio ou endpoints não-admin. A telemetria inclui logs de consultas LDAP ao Active Directory, eventos de criação de processos (Sysmon Event ID 1) com argumentos de enumeração e logs de auditoria do AD (Event IDs 4661, 4662). Essa analítica é fundamental para a fase de descoberta do ciclo de ataque, pois a enumeração de contas de domínio precede quase invariavelmente ataques de escalação de privilégios, movimento lateral e comprometimento de controladores de domínio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0363](https://attack.mitre.org/detectionstrategies/DET0129#AN0363)*