# AN0508 — Analytic 0508 ## Descrição Este analítico detecta enumeração de grupos no Linux através de comandos como `id`, `groups` ou `getent group`, frequentemente seguida por escalonamento de privilégio ou movimento lateral via SSH. A telemetria inclui logs do auditd (syscalls execve), histórico de comandos de shell, eventos de processo e logs de autenticação SSH para correlacionar a enumeração com atividade subsequente suspeita. Identificar enumeração de grupos é importante pois permite detectar a fase de reconhecimento interno de um adversário antes que ele execute ações de maior impacto como escalonamento de privilégio. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0508](https://attack.mitre.org/detectionstrategies/DET0179#AN0508)*