# AN1443 — Analytic 1443 ## Descrição Detecta atividade anômala do Kerberos, como tickets forjados ou roubados, correlacionando campos malformados em eventos de logon, TGTs criptografados com RC4 ou requisições TGS sem TGT correspondente. A telemetria inclui logs de eventos de segurança do Windows (IDs 4768, 4769, 4771) e monitoramento de acesso à memória do LSASS por processos suspeitos que tentam extrair tickets. Esta analítica é crítica para detectar ataques como Pass-the-Ticket e Golden/Silver Ticket, amplamente utilizados por grupos APT para movimentação lateral em ambientes Active Directory. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1443](https://attack.mitre.org/detectionstrategies/DET0522#AN1443)*