# AN0854 — Analytic 0854 ## Descrição Esta analítica detecta a modificação adversarial de containers ou arquivos GPO sob SYSVOL usando LDAP, ADSI, PowerShell (como `New-GPOImmediateTask`) ou ferramentas GUI. Isso inclui alterações em objetos de diretório (gPCFileSysPath), atribuições de delegação (SeEnableDelegationPrivilege) e escritas de arquivos SYSVOL (ScheduledTasks.xml, GptTmpl.inf). A telemetria utilizada inclui logs de segurança do Windows (Event IDs 5136, 5137 para modificações de objetos AD) e monitoramento de integridade de arquivos SYSVOL via Sysmon. Esta detecção é crítica em ambientes Active Directory pois modificações maliciosas de GPO podem resultar em execução de código em todos os sistemas do domínio simultaneamente, uma técnica usada por grupos de ransomware para implantação em massa. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1484-001-group-policy-modification|T1484.001 — Group Policy Modification]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1078-002-domain-accounts|T1078.002 — Domain Accounts]] --- *Fonte: [MITRE ATT&CK — AN0854](https://attack.mitre.org/detectionstrategies/DET0305#AN0854)*