# AN1000 — Analytic 1000 ## Descrição Este analítico detecta injeção não autorizada de tickets Kerberos correlacionando solicitações de Service Ticket (TGS — EID 4769) sem logon de conta correspondente (EID 4624) e sem atividade prévia de Ticket Granting Ticket (TGT — EID 4768), destacando cadeias anômalas de geração de tickets por usuários, hosts ou horários inesperados e injeção de tickets via ferramentas como Mimikatz na memória do LSASS. A telemetria utilizada inclui eventos de segurança do Windows do controlador de domínio, especialmente EID 4768, 4769, 4624 e 4672, correlacionados por usuário e estação de trabalho em janela temporal. Esta detecção é fundamental para identificar ataques Pass-the-Ticket e Golden/Silver Ticket — técnicas centrais de movimento lateral usadas por grupos como APT29, APT41 e operadores de ransomware em ambientes Active Directory. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1000](https://attack.mitre.org/detectionstrategies/DET0352#AN1000)*