# AN0493 — Analytic 0493 ## Descrição Este analítico detecta exploração de mecanismos de autenticação ou processos de válidação de credenciais no Windows, incluindo tickets Kerberos forjados (como explorado no MS14-068), acessos anômalos à memória do LSASS, tentativas de autenticação repetidas e crashes inesperados de serviços de autenticação. A telemetria inclui logs de segurança do Windows (Event ID 4624, 4625, 4768, 4769), eventos de acesso ao LSASS via Sysmon, e correlação entre criação de processos suspeitos e instabilidade de serviços. Essa detecção é crítica para identificar ataques que visam comprometer a infraestrutura de autenticação do domínio, potencialmente resultando em movimento lateral massivo. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0493](https://attack.mitre.org/detectionstrategies/DET0174#AN0493)*