# AN0507 — Analytic 0507 ## Descrição Este analítico detecta a enumeração de membros de grupos de domínio ou locais por adversários via ferramentas nativas como `net.exe`, PowerShell ou WMI no Windows, atividade que frequentemente precede movimento lateral ou escalonamento de privilégio. A telemetria inclui logs de segurança do Windows (Event ID 4798, 4799), eventos de execução de processos do Sysmon (Event ID 1), consultas LDAP capturadas e logs de auditoria de Active Directory para operações de leitura de grupo. Mapear grupos privilegiados é uma etapa fundamental no plano de um adversário para identificar alvos de alto valor e caminhos de escalonamento dentro do domínio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0507](https://attack.mitre.org/detectionstrategies/DET0179#AN0507)*