# AN1198 — Analytic 1198 ## Descrição Monitora acesso suspeito a repositórios de senha como LSASS, DPAPI, Windows Credential Manager ou bancos de dados de credenciais de browsers, detectando acesso anômalo processo-a-processo (como Mimikatz acessando LSASS) e correlacionando leituras de arquivos de repositório de credenciais com execução de processos não padrão. A telemetria inclui eventos de segurança do Windows (Event ID 4663 para acesso a objetos, 4656 para abertura de handle), Sysmon (Event ID 10 para acesso a processo) e monitoramento de Credential Guard para identificar tentativas de extração de credenciais de memória e repositórios protegidos. O dump de credenciais via LSASS é uma das técnicas mais amplamente utilizadas por grupos de ransomware e APTs para obter credenciais de domínio e viabilizar movimentação lateral rápida. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1198](https://attack.mitre.org/detectionstrategies/DET0430#AN1198)*