# AN0455 — Analytic 0455 ## Descrição Detecta uma cadeia causa-efeito onde um usuário ou serviço spawna shell/PowerShell que consulta política de senha local/domínio via `net accounts`, `Get-ADDefaultDomainPasswordPolicy` ou `secedit /export`, seguido opcionalmente de leituras LDAP/diretório de DCs e ações adjacentes de Discovery ou credenciais pelo mesmo principal. A telemetria necessária inclui criação de processos Sysmon (Event ID 1), PowerShell ScriptBlock Logging (Event ID 4104) e logs de Segurança do Windows correlacionados para identificar a sequência completa de reconhecimento de política seguida de ações de ataque. Essa detecção é importante porque adversários consultam políticas de senha como etapa de reconhecimento para calibrar ataques de força bruta — determinando complexidade mínima, histórico e lockout antes de iniciar spray de senhas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] --- *Fonte: [MITRE ATT&CK — AN0455](https://attack.mitre.org/detectionstrategies/DET0161#AN0455)*