# AN0419 — Analytic 0419 ## Descrição Detecta tokens SAML forjados em ambientes IaaS manifestando-se como autenticações cross-cloud ou cross-account sem eventos STS correspondentes, identificando uso de `AssumeRole` ou `GetFederationToken` sem assertion SAML correspondente no log do IdP confiável. A telemetria necessária inclui AWS CloudTrail para eventos STS, logs de auditoria do IdP federado e correlação de chamadas de API de autenticação cross-account que não têm precedente de autenticação válida. Essa detecção é essencial em ambientes multi-conta e multi-cloud, onde tokens SAML forjados podem ser usados para escalar privilégios lateralmente entre contas AWS sem ativar alertas de credenciais comprometidas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1606-002-forge-web-credentials-saml-tokens|T1606.002 — SAML Tokens]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0419](https://attack.mitre.org/detectionstrategies/DET0148#AN0419)*