# AN1444 — Analytic 1444 ## Descrição Detecta acesso suspeito ao banco de dados de segredos do SSSD e ao material de chaves Kerberos, indicando tentativas de roubo ou replay de tickets em sistemas Linux. A telemetria utilizada inclui auditd para monitoramento de acesso a arquivos (banco SSSD em `/var/lib/sss/db/`) combinado com correlação de requisições anômalas de tickets de serviço Kerberos via logs do sistema. Esta analítica é importante porque o SSSD armazena credenciais em cache e material de chave Kerberos que, se acessados por processos não autorizados, podem habilitar ataques de roubo de identidade em ambientes híbridos Linux/Active Directory. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1444](https://attack.mitre.org/detectionstrategies/DET0522#AN1444)*