# AN0671 — Analytic 0671 ## Descrição Monitora atividade anômala de inscrição e uso de certificados nos Serviços de Certificados do Active Directory (AD CS), acesso ao registro em locais de armazenamento de certificados e execuções de processo incomuns que tentam exportar ou acessar chaves privadas. A telemetria inclui logs de auditoria do AD CS (Event IDs 4886, 4887, 4870), logs do Windows CryptoAPI e Sysmon que identificam solicitações de certificados por contas não autorizadas ou exportação de material de chave privada. Essa analítica é crítica pois o abuso do AD CS (ESC1-ESC8) é uma das técnicas mais poderosas de escalada de privilégios em ambientes Active Directory, permitindo geração de tickets de autenticação para qualquer usuário do domínio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0671](https://attack.mitre.org/detectionstrategies/DET0240#AN0671)*