# AN1632 — Analytic 1632 ## Descrição Esta analítica detecta invocação não autorizada de operações de replicação DCSync via Directory Replication Service (DRS), frequentemente executada por atores de ameaça usando Mimikatz ou ferramentas similares a partir de endpoints não-controladores de domínio para extrair hashes de todas as contas do Active Directory. A telemetria primária é o Event ID 4662 com direitos de acesso `DS-Replication-Get-Changes` e `DS-Replication-Get-Changes-All` originados de contas que não são DCs legítimos, capturado via logs de auditoria de AD DS. Esta detecção é crítica porque DCSync é uma das técnicas mais utilizadas por adversários sofisticados, incluindo grupos de ransomware, para obter controle total sobre todos os hashes de senha do domínio sem necessidade de acesso físico ao DC. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1632](https://attack.mitre.org/detectionstrategies/DET0594#AN1632)*