Capture a Flag Kerberos: Detecção de Anomalias Kerberos

As requisições Kerberos TGT geram Eventos do Windows com o ID 4768, que incluem uma vasta quantidade de informações sobre a requisição . É possível identificar atividades suspeitas comparando as flags da requisição com aquelas comumente definidas por ferramentas como Metasploit, as incluídas em Indicadores de Compromisso (IoCs) de campanhas de malware, ou aquelas que divergem de uma baseline estabelecida. Este post detalha as flags e fornece uma query KQL para a caça a essas anomalias.