det0179-behavioral-detection-of-permission-groups-discovery

# DET0179 — Behavioral Detection of Permission Groups Discovery ## Descrição Esta estratégia detecta enumeração de grupos de permissão do sistema por adversários realizando reconhecimento interno — mapeado em [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]]. Após acesso inicial, atacantes executam comandos como `net group`, `net localgroup`, `Get-ADGroup`, `id`, `groups` para mapear estruturas de privilégio e identificar grupos de alto valor (Domain Admins, Enterprise Admins, sudo, wheel) como alvos para escalada. Os indicadores incluem execução sequencial de múltiplos comandos de descoberta de grupos em curto intervalo, consultas LDAP para filtros de grupo como `(objectClass=group)` ou `(memberOf=CN=Domain Admins,*)`, chamadas a `NetGroupGetInfo` ou `NetLocalGroupEnum` por processos não-administrativos, e enumeração de grupos em múltiplos sistemas via SMB (indicando movimento lateral em reconhecimento). Windows Security Event (IDs 4798, 4799), auditd e LDAP query logs são as fontes primárias. O contexto temporal é crítico: um único `net group` tem baixa suspeição, mas uma sequência de 10+ comandos de enumeração de grupos, contas e redes em 5 minutos por uma conta de usuário regular é fortemente indicativa de reconhecimento pós-comprometimento. ## Indicadores de Detecção - Sequência de `net group`, `net localgroup`, `Get-ADGroup` por conta de usuário não-administrativa - Consulta LDAP com filtro `(objectClass=group)` ou `memberOf` de workstation de usuário - Windows Event 4799 (membro de grupo local enumerado) repetido em múltiplos grupos - `id`, `groups`, `getent group` executados por shell iniciado por processo de serviço - Enumeração de grupos em múltiplos sistemas via SMB em curta janela de tempo ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] — técnica principal detectada - [[t1069-001-local-groups|T1069.001 - Local Groups]] — sub-técnica de grupos locais - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] — sub-técnica de grupos de domínio - [[t1087-account-discovery|T1087 - Account Discovery]] — frequentemente executado em conjunto ## Analytics Relacionadas - [[an0507-analytic-0507|AN0507 — Analytic 0507]] - [[an0508-analytic-0508|AN0508 — Analytic 0508]] - [[an0509-analytic-0509|AN0509 — Analytic 0509]] --- *Fonte: [MITRE ATT&CK — DET0179](https://attack.mitre.org/detectionstrategies/DET0179)*