# DC0013 — User Account Metadata ## Descrição O componente **User Account Metadata** compreende dados contextuais sobre contas de usuário — incluindo username, user ID (SID/UID/UPN), atributos de perfil, grupos de memberships, datas de criação e último login, flags de conta (habilitada, bloqueada, expirada), e outros metadados associados à identidade no diretório ou sistema operacional. Adversários em fase de reconhecimento interno utilizam consultas a metadados de contas para mapear o ambiente de identidade: identificar contas privilegiadas, localizar contas de serviço, descobrir contas inativas que podem ser exploradas com menor risco de detecção ([[t1087-account-discovery|T1087-account-discovery]]). Ferramentas como BloodHound, ldapsearch e PowerView automatizam a coleta massiva desse tipo de metadado via consultas LDAP ao Active Directory. A detecção de acesso anômalo a metadados de contas é desafiadora porque as mesmas consultas LDAP usadas por adversários são utilizadas por ferramentas legítimas de gerenciamento de identidade. O contexto é fundamental: volume de consultas, horário, conta executora e os atributos específicos sendo consultados (ex: `adminCount`, `userPassword`, `memberOf`) são indicadores que distinguem uso legítimo de reconhecimento malicioso. Correlacionar com [[dc0099-group-enumeration]] e [[dc0071-active-directory-object-access]] fornece visibilidade completa sobre campanhas de reconhecimento de identidade em ambientes AD. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (AD) | 4661 | Acesso a objeto de diretório (handle solicitado) | Security.evtx | | Windows (AD) | 4662 | Operação executada em objeto de diretório | Security.evtx | | Windows | 4798 | Enumeração de grupos locais de usuário | Security.evtx | | Azure AD | AuditLogs | Leitura de propriedades de usuário via Graph API | Azure Monitor | | AWS IAM | GetUser / ListUsers | Leitura de metadados de usuário IAM | CloudTrail | | Linux | — | Execução de `id`, `getent passwd`, `finger` | /var/log/auth.log | | LDAP | — | Query LDAP para atributos de usuário | Syslog/LDAP audit | ## Queries de Detecção ### KQL — Azure Sentinel: Leitura em massa de atributos via Microsoft Graph API ```kql AuditLogs | where TimeGenerated > ago(1h) | where OperationName == "Get user" or OperationName == "List users" | summarize QueryCount = count(), UniqueUsers = dcount(tostring(TargetResources[0].userPrincipalName)) by tostring(InitiatedBy.app.appDisplayName), bin(TimeGenerated, 5m) | where QueryCount > 100 | project TimeGenerated, AppName = Column1, QueryCount, UniqueUsers | order by QueryCount desc ``` ### SPL — Splunk: Consultas LDAP para atributos sensíveis (reconhecimento com BloodHound) ```spl index=ldap_logs | search filter="*adminCount*" OR filter="*memberOf*" OR filter="*userPassword*" | stats count by src_ip, ldap_user, filter | where count > 50 | table src_ip, ldap_user, filter, count | sort -count ``` ## Técnicas Relacionadas - [[t1087-account-discovery|T1087-account-discovery]] — Enumeração de contas de usuário para identificar alvos privilegiados - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Descoberta de grupos para mapear estrutura de privilégios - [[t1078-valid-accounts|T1078-valid-accounts]] — Metadados de contas usados para identificar contas inativas ou de serviço exploráveis ## Contexto LATAM > [!globe] Relevância Regional > Ferramentas de reconhecimento de AD como BloodHound são amplamente utilizadas em testes de penetração e por adversários no Brasil. SOCs brasileiros que monitoram Event ID 4662 com filtros para atributos sensíveis (`adminCount`, `nTSecurityDescriptor`) conseguem detectar campanhas de reconhecimento precocemente. A integração de logs LDAP com SIEMs ainda é subutilizada na maioria das organizações de médio porte da região. ## Referências - [MITRE ATT&CK — DC0013: User Account Metadata](https://attack.mitre.org/datasources/DS0002/#User%20Account%20Metadata) - [[ds0002-user-account|DS0002 — User Account]] - [[t1087-account-discovery|T1087-account-discovery]] - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] - [[_data-sources]] - [[_detections]]