# AN1025 — Analytic 1025 ## Descrição Este analítico detecta enumeração de grupos de domínio no Windows através de utilitários de linha de comando como `net group /domain` ou cmdlets PowerShell (`Get-ADGroup`), seguida de acesso suspeito a chamadas de API ou memória do LSASS, indicando reconhecimento de grupos de segurança como precursor de movimento lateral. A telemetria utilizada inclui eventos de criação de processos (Sysmon EID 1) com análise de argumentos para enumeração de grupos, eventos de consulta LDAP (EID 4661) no controlador de domínio e correlação com acesso subsequente ao LSASS (EID 4656 com handle para lsass.exe). Esta detecção é importante porque enumeração de grupos de domínio é uma etapa padrão de reconhecimento em ataques a Active Directory, frequentemente realizada por ferramentas como BloodHound/SharpHound antes de identificar caminhos de escalada de privilégio. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1025](https://attack.mitre.org/detectionstrategies/DET0360#AN1025)*