# AN0770 — Analytic 0770 ## Descrição Esta analítica detecta registro de Controlador de Domínio desonesto e abuso de replicação do Active Directory correlacionando: criação/modificação de objetos nTDSDSA na partição de Configuração, uso inesperado de SPNs do Directory Replication Service, chamadas RPC de replicação (DrsAddEntry, GetNCChanges) originadas de hosts não-DC, e autenticação Kerberos usando SPNs de DRS por máquinas fora da OU de Domain Controllers. A telemetria inclui logs de auditoria do AD (Event ID 5136, 4662), logs de segurança do Kerberos e análise de tráfego RPC de replicação de diretório. A detecção é fundamental para identificar ataques DCShadow, que permitem ao adversário modificar objetos do Active Directory sem gerar eventos de auditoria convencionais. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1207-rogue-domain-controller|T1207 — Rogue Domain Controller]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0770](https://attack.mitre.org/detectionstrategies/DET0276#AN0770)*