# AN0383 — Analytic 0383 ## Descrição Detecta modificação não autorizada de atributos SID-History no Active Directory para escalação de privilégios, rastreando: operações privilegiadas ou chamadas de API como `DsAddSidHistory`, alterações de atributos SID-History (Event ID 5136), novas sessões de logon com tokens contendo valores SID-History inesperados e acesso subsequente a recursos usando privilégios derivados da injeção de SID-History. A telemetria inclui logs de auditoria do Active Directory, eventos de autenticação (Event IDs 4768, 4769) e análise de tokens de acesso em sessões novas. Essa analítica é crítica porque a injeção de SID-History é uma técnica avançada de escalação de privilégios que permite que contas sem privilégio acessem recursos de domínio como se fossem administradores, frequentemente usada em ataques pós-comprometimento de domínio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN0383](https://attack.mitre.org/detectionstrategies/DET0136#AN0383)*