# AN0418 — Analytic 0418 ## Descrição Detecta tokens SAML forjados como tentativas de autenticação com assinaturas válidas mas sem eventos Kerberos ou de autenticação precedentes esperados, correlacionando assertions SAML com ausência dos Event IDs 4769, 1200 ou 1202, ou tokens emitidos com lifetimes, emissores ou claims anômalos em relação à baseline. A telemetria necessária inclui logs de auditoria do provedor de identidade (AD FS, Okta, Azure AD), logs de autenticação de aplicações federadas e correlação entre eventos de autenticação Kerberos e SAML no mesmo intervalo de tempo. Essa detecção é crítica para identificar ataques como o Golden SAML — técnica utilizada pelo [[g0016-apt29]] no incidente SolarWinds — que permite acesso persistente a recursos federados sem credenciais de usuário. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1606-002-forge-web-credentials-saml-tokens|T1606.002 — SAML Tokens]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0418](https://attack.mitre.org/detectionstrategies/DET0148#AN0418)*