# AN0444 — Analytic 0444 ## Descrição Detecta tentativas de Kerberoasting monitorando requisições TGS Kerberos anômalas (Event ID 4769) com cifragem RC4 (etype 0x17), contas solicitando número incomum de tickets de serviço em curto período ou contas de serviço visadas fora das baselines de uso normal, correlacionando atividade suspeita de processo (como Mimikatz acessando LSASS) com anomalias de tickets Kerberos. A telemetria necessária inclui logs de auditoria Kerberos no controlador de domínio, análise de padrões de requisição de TGS por identidade e tempo, e detecção de ferramentas de ataque como [[mimikatz]] através de monitoramento de acesso ao LSASS. Essa detecção é essencial para identificar ataques de Kerberoasting frequentemente usados em campanhas de ransomware como precursor para escalada de privilégios e movimentação lateral em domínios Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1558-003-steal-or-forge-kerberos-tickets-kerberoasting|T1558.003 — Kerberoasting]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-001-os-credential-dumping-lsass-memory|T1003.001 — LSASS Memory]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0444](https://attack.mitre.org/detectionstrategies/DET0157#AN0444)*