# AN0420 — Analytic 0420 ## Descrição Detecta uso de tokens SAML forjados em sistemas Windows para autenticar em aplicações federadas sem atividade Kerberos normal, identificando correlação anômala onde acesso a SaaS/O365 via SAML ocorre sem requisições TGT ou logons de usuário precedentes. A telemetria necessária inclui logs de segurança Windows (Event ID 4624, 4648), logs de auditoria do Microsoft 365 (UAL) e correlação entre eventos de autenticação Kerberos no AD e acessos federados via SAML. Essa detecção é relevante para organizações com ambientes híbridos AD/M365, onde adversários exploram a confiança de federação para obter acesso a recursos cloud sem passar pela autenticação Kerberos rastreável. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1606-002-forge-web-credentials-saml-tokens|T1606.002 — SAML Tokens]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] --- *Fonte: [MITRE ATT&CK — AN0420](https://attack.mitre.org/detectionstrategies/DET0148#AN0420)*