# AN0018 — Analytic 0018 ## Descrição Detecta login federado via SSO ou concessão OAuth ao plano de controle de nuvem, seguido de enumeração de diretório ou permissões, sinalizando possível abuso de tokens de identidade para reconhecimento de ambiente. A telemetria inclui logs de provedores de identidade (Okta, Azure AD, Ping), eventos de auditoria de OAuth/SAML e logs de API de nuvem que correlacionam autenticação com operações de discovery subsequentes. Esse analítico é importante porque o comprometimento de identidade federada é um vetor de ataque de alto impacto, utilizado por atores como Cozy Bear/APT29 em ataques de cadeia de suprimentos. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] --- *Fonte: [MITRE ATT&CK — AN0018](https://attack.mitre.org/detectionstrategies/DET0008#AN0018)*