# AN0865 — Analytic 0865 ## Descrição Esta analítica detecta adições não autorizadas de usuários ou contas de máquina a grupos locais ou de domínio privilegiados como Administrators ou Remote Desktop Users. A telemetria utilizada inclui logs de segurança do Windows (Event IDs 4732 para grupos locais, 4728/4756 para grupos de domínio) para modificações de membros de grupo, correlacionados com contexto de usuário e timing. Esta detecção é fundamental para identificar escalonamento de privilégios e preparação para movimento lateral em ambientes Windows, onde a adição de contas a grupos privilegiados é um passo comum em ataques de ransomware e exfiltração de dados antes de ações de impacto. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-create-account|T1136 — Create Account]] - [[t1078-002-domain-accounts|T1078.002 — Domain Accounts]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] --- *Fonte: [MITRE ATT&CK — AN0865](https://attack.mitre.org/detectionstrategies/DET0310#AN0865)*