det0270-detection-of-domain-or-tenant-policy-modifications-via-ad-and-identity-p

# DET0270 — Detection of Domain or Tenant Policy Modifications via AD and Identity Provider ## Descrição Esta estratégia detecta modificações não autorizadas em políticas de domínio Active Directory ou tenant Microsoft 365/Azure AD que podem ser usadas para persistência, escalada de privilégio ou enfraquecimento de controles de segurança. Adversários com acesso de Domain Admin ou Global Admin frequentemente modificam políticas para garantir acesso persistente ou facilitar o ataque. As técnicas incluem: modificação da Group Policy Object (GPO) para distribuir malware, alteração de configurações de password policy para permitir senhas mais fracas, adição de trusted domains ou federation settings maliciosas no Azure AD, e modificação de Conditional Access Policies para excluir contas de atacantes de MFA. A telemetria requer auditoria de GPO (Event ID 5136 para modificação de AD objeto), logs do Azure AD para mudanças em Conditional Access, Federation Settings e Tenant-wide settings, e alertas para operações de escrita em objetos de policy críticos. ## Indicadores de Detecção - Modificação de GPO de segurança (password policy, screen lock, AppLocker) por conta não pertencente a equipe de AD - Adição de novo trusted domain ou Identity Provider federation no Azure AD fora de processo de change - Alteração de Conditional Access Policy para excluir grupo ou usuário de requisitos de MFA - Event ID 5136 indicando modificação do objeto `Default Domain Policy` ou `Default Domain Controllers Policy` - Criação de nova GPO linked à raiz do domínio em horário atípico por conta de serviço - Modificação de `msDS-AllowedToActOnBehalfOfOtherIdentity` em objetos de computador (RBCD attack) ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[T1484.001-group-policy-modification|T1484.001 — Group Policy Modification]] - [[T1484.002-domain-trust-modification|T1484.002 — Domain Trust Modification]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] ## Analytics Relacionadas - [[an0755-analytic-0755|AN0755 — Analytic 0755]] - [[an0756-analytic-0756|AN0756 — Analytic 0756]] --- *Fonte: [MITRE ATT&CK — DET0270](https://attack.mitre.org/detectionstrategies/DET0270)*