dc0071-active-directory-object-access

# DC0071 — Active Directory Object Access ## Descrição O componente **Active Directory Object Access** registra leituras e consultas a objetos do Active Directory — incluindo acesso a atributos de usuários, grupos, GPOs, relações de confiança, e configurações de segurança. Esse componente é central para detectar reconhecimento interno em ambientes corporativos, especialmente o mapeamento de privilégios realizado por ferramentas como BloodHound e ldapsearch. O Event ID 4662 captura operações executadas em objetos AD após um handle ter sido aberto (registrado pelo 4661). Os campos mais relevantes são `ObjectType` (tipo do objeto acessado), `Properties` (atributos consultados) e `AccessMask` (tipo de acesso). Atributos como `nTSecurityDescriptor`, `memberOf`, `adminCount`, `userPassword` e `msDS-AllowedToActOnBehalfOfOtherIdentity` são indicadores de reconhecimento avançado quando acessados em volume. A detecção de reconhecimento via LDAP é desafiadora porque as mesmas operações são realizadas por ferramentas legítimas de gerenciamento de identidade. A abordagem mais eficaz combina: limiar de volume (consultas acima do baseline do ambiente), sensibilidade dos atributos acessados e contexto da conta executora (contas de usuário final não deveriam consultar `nTSecurityDescriptor` em massa). O acesso a objetos de confiança de domínio ([[t1482-domain-trust-discovery|T1482-domain-trust-discovery]]) e delegações RBCD (`msDS-AllowedToActOnBehalfOfOtherIdentity`) indica reconhecimento para ataques de movimentação lateral inter-domínio. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (DC) | 4661 | Handle para objeto AD solicitado | Security.evtx | | Windows (DC) | 4662 | Operação executada em objeto AD | Security.evtx | | Windows (DC) | 4674 | Operação privilegiada tentada | Security.evtx | | Azure AD | AuditLogs | Leitura de objeto via Graph API | Azure Monitor | | LDAP | — | Query LDAP para atributos de objeto | LDAP audit log | | Windows (DC) | 5145 | Compartilhamento de rede acessado (SYSVOL) | Security.evtx | ## Queries de Detecção ### KQL — Azure Sentinel: Acesso em massa a atributos sensíveis via Graph API (BloodHound-like) ```kql AuditLogs | where TimeGenerated > ago(1h) | where OperationName in ("Get member objects", "List group members", "List transitive member objects") | summarize QueryCount = count(), TargetObjects = dcount(tostring(TargetResources[0].id)) by tostring(InitiatedBy.app.appDisplayName), tostring(InitiatedBy.user.userPrincipalName), bin(TimeGenerated, 5m) | where QueryCount > 100 | project TimeGenerated, Initiator = column_ifexists("Column1", ""), QueryCount, TargetObjects | order by QueryCount desc ``` ### SPL — Splunk: Acesso a atributos críticos de AD (reconhecimento de privilégio) ```spl index=wineventlog EventCode=4662 | rex field=_raw "Properties\s+(?<properties>[^\n]+)" | search properties="*nTSecurityDescriptor*" OR properties="*memberOf*" OR properties="*adminCount*" OR properties="*msDS-AllowedToAct*" | rex field=_raw "SubjectUserName\s+(?<actor>[^\s]+)" | stats count as access_count by actor, properties | where access_count > 10 | sort -access_count ``` ## Técnicas Relacionadas - [[t1087-account-discovery|T1087-account-discovery]] — Enumeração de atributos de contas para identificar alvos de alto valor - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Leitura de memberships de grupos privilegiados (Domain Admins, Enterprise Admins) - [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]] — Acesso a objetos de confiança para mapear relações entre domínios/florestas - [[t1003-os-credential-dumping|T1003-os-credential-dumping]] — Acesso a atributos de senha (LAPS, msDS-ManagedPassword) como pré-requisito para dump ## Contexto LATAM > [!globe] Relevância Regional > O uso de BloodHound para mapeamento de AD é documentado em testes de penetração e em comprometimentos reais de empresas brasileiras, especialmente no setor financeiro e telecomúnicações. A habilitação de "Audit Directory Service Access" nos DCs com filtros por atributos sensíveis é uma recomendação de alta prioridade para organizações brasileiras. A ingestão de Event ID 4662 gera volume elevado de logs — uma estratégia de filtragem por lista de atributos críticos é essencial para viabilidade operacional. ## Referências - [MITRE ATT&CK — DC0071: Active Directory Object Access](https://attack.mitre.org/datasources/DS0026/#Active%20Directory%20Object%20Access) - [[ds0026-active-directory|DS0026 — Active Directory]] - [[t1087-account-discovery|T1087-account-discovery]] - [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]] - [[_data-sources]] - [[_detections]]