# AN0675 — Analytic 0675 ## Descrição Detecta Silver Tickets Kerberos forjados identificando atividade anômala de tickets de serviço, como campos malformados em eventos de logon (Event ID 4624), solicitações TGS sem interação com o KDC (Event ID 4769 ausente) e tentativas de acesso usando contas de serviço fora dos hosts ou recursos esperados. A telemetria inclui logs de auditoria do Controlador de Domínio, Windows Security Event Log e logs de atividade de LSASS do Sysmon que capturam o padrão distintivo de autenticação Kerberos sem passagem pelo KDC. Essa analítica é crítica pois Silver Tickets permitem ao adversário acessar serviços específicos sem válidação pelo DC, tornando a detecção via logs do KDC impossível e exigindo correlação de telemetria do endpoint. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0675](https://attack.mitre.org/detectionstrategies/DET0241#AN0675)*