# AN1026 — Analytic 1026 ## Descrição Este analítico detecta enumeração de grupos de domínio via `ldapsearch` ou scripts customizados que utilizam LDAP sobre a rede em sistemas Linux, especialmente quando executados por usuários ou processos que normalmente não realizam consultas LDAP em lote. A telemetria utilizada inclui logs do auditd para execução de `ldapsearch` e ferramentas similares, logs do servidor LDAP/Active Directory para consultas anômalas por volume ou atributos solicitados, e eventos de rede para conexões LDAP (porta 389/636) de clientes Linux. A detecção é relevante para ambientes Linux integrados a Active Directory, onde ferramentas de reconhecimento LDAP são usadas por atacantes para mapear a estrutura de grupos e identificar contas privilegiadas antes de ataques de movimento lateral em redes heterogêneas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1026](https://attack.mitre.org/detectionstrategies/DET0360#AN1026)*