# AN1259 — Analytic 1259 ## Descrição Detecta modificação pelo adversário das configurações de confiança de domínio do Active Directory via netdom, nltest ou PowerShell para adicionar nova confiança de domínio ou alterar federação, afetando atributos de objeto AD como trustDirection, trustType e trustAttributes. A telemetria inclui logs de eventos do controlador de domínio (EID 4706, 4707), eventos de auditoria de alterações de diretório e correlação com uso de SeEnableDelegationPrivilege ou injeção de certificado. Essa análise é crítica para detectar ataques de persistência baseados em confiança de domínio que permitem acesso de longo prazo sem comprometer contas individuais. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1484.002-domain-trust-modification|T1484.002 — Domain Trust Modification]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078.002-valid-accounts-domain-accounts|T1078.002 — Domain Accounts]] --- *Fonte: [MITRE ATT&CK — AN1259](https://attack.mitre.org/detectionstrategies/DET0458#AN1259)*