det0129-domain-account-enumeration-across-platforms

# DET0129 — Domain Account Enumeration Across Platforms ## Descrição Esta estratégia detecta a enumeração de contas de domínio por adversários após ganhar acesso inicial a um ambiente Active Directory. A técnica T1087.002 é uma das primeiras etapas de reconhecimento interno, permitindo mapear usuários, grupos, contas de serviço e administradores para planejar movimentação lateral e escalação de privilégios. Em Windows, os vetores comuns incluem `net user /domain`, `net group /domain`, consultas LDAP via `dsquery`, `AdFind`, `BloodHound`, e chamadas à API `NetUserEnum`/`SAMR`. Em Linux integrado ao AD (via sssd/winbind), comandos como `wbinfo -u` e `getent passwd` são utilizados. A volumetria de consultas LDAP e SAMR é o indicador quantitativo mais confiável. A telemetria inclui Windows Event ID 4661 (acesso a objeto SAM), logs de controlador de domínio (Event ID 4662 — LDAP queries), Sysmon Event ID 1 para processos de enumeração conhecidos, e monitoramento de tráfego LDAP/SAMR na rede interna. Picos súbitos de consultas LDAP a partir de uma estação de trabalho comum são um sinal forte de reconhecimento. ## Indicadores de Detecção - Execução de `net user /domain`, `net group /domain` por conta não-administrativa - `AdFind.exe`, `BloodHound`, ou `SharpHound` detectados em endpoint - Volume anômalo de consultas LDAP (>100 em 60s) a partir de host não-servidor - Event ID 4661 com `ObjectType` = `SAM_USER` em múltiplos objetos por sessão - `dsquery user` ou `dsquery group` executados por processo não-administrativo ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1482-domain-trust-discovery|T1482 — Domain Trust Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0363-analytic-0363|AN0363 — Analytic 0363]] - [[an0364-analytic-0364|AN0364 — Analytic 0364]] - [[an0365-analytic-0365|AN0365 — Analytic 0365]] --- *Fonte: [MITRE ATT&CK — DET0129](https://attack.mitre.org/detectionstrategies/DET0129)*