# DC0094 — Group Modification ## Descrição O componente **Group Modification** registra alterações em grupos — incluindo adição ou remoção de membros, mudanças de nome, modificações de permissões e atualizações de atributos — em ambientes Windows/Active Directory, Azure AD, AWS IAM, Google Workspace e outras plataformas de identidade. Esse componente é diretamente associado à detecção de escalação de privilégios via manipulação de membership em grupos privilegiados. A adição de um usuário ao grupo "Domain Admins", "Enterprise Admins", "Schema Admins" ou "Backup Operators" é um dos indicadores mais críticos que um SOC pode monitorar. O Event ID 4728 (adição a grupo de segurança global) e 4732 (adição a grupo de segurança local) capturam essas operações no Windows. Em ambientes cloud, operações equivalentes são registradas nos logs de auditoria das respectivas plataformas. Adversários utilizam Group Modification para estabelecer e expandir privilégios ([[t1098-account-manipulation|T1098-account-manipulation]]): adicionar contas comprometidas ou backdoor a grupos administrativos, adicionar service accounts a grupos com acesso a sistemas críticos, ou modificar permissões de grupos para expandir o escopo de acesso. Em ambientes multi-cloud, a modificação de roles e grupos IAM pode ter impacto em múltiplos sistemas simultaneamente. A detecção mais eficaz combina o evento de modificação com o contexto: quem fez a modificação, em qual grupo, a partir de qual workstation e em qual horário. Modificações em grupos privilegiados por contas não pertencentes ao time de IAM ou fora do horário comercial devem ser investigadas imediatamente. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows (AD) | 4728 | Membro adicionado a grupo de segurança global | Security.evtx | | Windows (AD) | 4729 | Membro removido de grupo de segurança global | Security.evtx | | Windows (AD) | 4732 | Membro adicionado a grupo de segurança local | Security.evtx | | Windows (AD) | 4733 | Membro removido de grupo de segurança local | Security.evtx | | Windows (AD) | 4756 | Membro adicionado a grupo de segurança universal | Security.evtx | | Azure AD | AuditLogs | Membro adicionado/removido de grupo | Azure Monitor | | AWS IAM | AddUserToGroup | Usuário adicionado a grupo IAM | CloudTrail | | Google Workspace | groups.members.insert | Membro adicionado a grupo | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Adição a grupo privilegiado por conta não-admin ```kql AuditLogs | where TimeGenerated > ago(24h) | where OperationName == "Add member to group" | extend Actor = tostring(InitiatedBy.user.userPrincipalName) | extend TargetGroup = tostring(TargetResources[0].displayName) | extend AddedMember = tostring(TargetResources[1].userPrincipalName) | where TargetGroup has_any ("Admin", "Global Admin", "Privileged", "Security") | where Actor !has "admin" and Actor !has "iam" and Actor !has "provisioning" | project TimeGenerated, Actor, TargetGroup, AddedMember, Result | order by TimeGenerated desc ``` ### SPL — Splunk: Modificação de grupo Domain Admins ```spl index=wineventlog EventCode=4728 OR EventCode=4732 OR EventCode=4756 | eval group=mvindex(Group_Name, 0) | search group="*Domain Admins*" OR group="*Enterprise Admins*" OR group="*Schema Admins*" OR group="*Backup Operators*" | stats count by SubjectUserName, Member_Name, group, ComputerName | table SubjectUserName, Member_Name, group, ComputerName, count | sort -count ``` ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098-account-manipulation]] — Adição de contas a grupos privilegiados para escalação e persistência de privilégios - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Descoberta de grupos é frequentemente precursora à modificação para explorar os mais valiosos - [[t1484-domain-or-tenant-policy-modification]] — Modificação de grupos com permissões de GPO pode ter impacto equivalente a uma modificação de política ## Contexto LATAM > [!globe] Relevância Regional > A adição não autorizada de contas a grupos Domain Admins é documentada em incidentes de ransomware contra empresas brasileiras como etapa de consolidação de acesso após a exploração inicial. SOCs brasileiros que operam com Microsoft Sentinel ou Splunk devem ter alertas ativos para Event IDs 4728/4732 envolvendo grupos de alta sensibilidade. A integração com sistemas de IAM e ticketing (ex: ServiceNow, GLPI) permite válidar se a mudança foi autorizada formalmente. ## Referências - [MITRE ATT&CK — DC0094: Group Modification](https://attack.mitre.org/datasources/DS0036/#Group%20Modification) - [[ds0036-group|DS0036 — Group]] - [[t1098-account-manipulation|T1098-account-manipulation]] - [[t1484-domain-or-tenant-policy-modification]] - [[_data-sources]] - [[_detections]]