# DC0099 — Group Enumeration ## Descrição O componente **Group Enumeration** registra consultas que extraem listagens de grupos de sistemas de identidade — incluindo Active Directory, Azure AD, AWS IAM, Google Workspace e plataformas SaaS. A enumeração de grupos é uma fase crítica de reconhecimento interno: adversários mapeiam a estrutura de privilégios do ambiente para identificar quais grupos concedem acesso a sistemas de alto valor. A enumeração de grupos é realizada via múltiplos meios: comandos nativos do sistema (`net group /domain`, `Get-ADGroup`), consultas LDAP diretas ao AD (`(&(objectCategory=group)`), APIs de plataformas cloud (`aws iam list-groups`, `GET /v1.0/groups`), e ferramentas de reconhecimento automatizado como BloodHound e PowerView. Cada método gera telemetria diferente — o desafio de detecção está na alta sobreposição com uso legítimo. O Event ID 4799 (enumeração de grupos locais de usuário) e 4798 (enumeração de grupos de usuário específico) fornecem visibilidade no Windows. Em AD, consultas LDAP massivas podem ser detectadas por volume (Event ID 4662 com filtros para objetos do tipo `group`) ou por ferramentas de análise de tráfego LDAP. A correlação com [[dc0013-user-account-metadata]] e [[dc0105-group-metadata]] forma uma imagem completa de campanhas de reconhecimento de identidade. Ferramentas de reconhecimento automatizado como BloodHound realizam enumeração massiva de grupos, usuários e relações de confiança em sequência rápida — padrão detectável por volume e timing. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4798 | Grupos de um usuário foram enumerados | Security.evtx | | Windows | 4799 | Grupos de segurança locais foram enumerados | Security.evtx | | Windows (AD) | 4662 | Operação em objeto de grupo no AD | Security.evtx | | Azure AD | AuditLogs | Listagem de grupos via Graph API | Azure Monitor | | AWS IAM | ListGroups / ListGroupsForUser | Enumeração de grupos IAM | CloudTrail | | LDAP | — | Query LDAP para objetos do tipo `group` | LDAP audit log | | Google Workspace | groups.list | Listagem de grupos | Admin Activity Logs | ## Queries de Detecção ### KQL — Azure Sentinel: Enumeração massiva de grupos via Graph API ```kql AuditLogs | where TimeGenerated > ago(1h) | where OperationName in ("List groups", "Get group", "List group members", "List transitive member objects") | summarize QueryCount = count(), UniqueGroups = dcount(tostring(TargetResources[0].id)) by tostring(InitiatedBy.user.userPrincipalName), tostring(InitiatedBy.app.appDisplayName), bin(TimeGenerated, 5m) | where QueryCount > 50 | project TimeGenerated, Initiator = column_ifexists("Column1", ""), QueryCount, UniqueGroups | order by QueryCount desc ``` ### SPL — Splunk: Enumeração de grupos AD locais em múltiplos hosts (BloodHound pattern) ```spl index=wineventlog EventCode=4799 | stats count as enum_count, dc(ComputerName) as hosts_targeted by SubjectUserName | where enum_count > 20 OR hosts_targeted > 5 | table SubjectUserName, enum_count, hosts_targeted | sort -enum_count ``` ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — Enumeração de grupos para mapear estrutura de privilégios e identificar caminhos de escalação - [[t1087-account-discovery|T1087-account-discovery]] — Frequentemente combinado: enumeração de grupos seguida de enumeração dos membros de grupos privilegiados - [[t1482-domain-trust-discovery|T1482-domain-trust-discovery]] — Grupos de confiança entre domínios podem ser enumerados para identificar relações de federação exploráveis ## Contexto LATAM > [!globe] Relevância Regional > O uso de BloodHound e SharpHound para enumeração de AD é uma das primeiras ações documentadas em incidentes avançados contra empresas brasileiras. Organizações com visibilidade de Event ID 4799 e análise de tráfego LDAP conseguem detectar a fase de reconhecimento horas antes que o adversário execute ações de impacto. Em ambientes AWS, a ausência de alertas para `ListGroups` no CloudTrail é uma lacuna comum em organizações brasileiras que migraram recentemente para cloud. ## Referências - [MITRE ATT&CK — DC0099: Group Enumeration](https://attack.mitre.org/datasources/DS0036/#Group%20Enumeration) - [[ds0036-group|DS0036 — Group]] - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] - [[t1087-account-discovery|T1087-account-discovery]] - [[_data-sources]] - [[_detections]]