# AN0421 — Analytic 0421 ## Descrição Detecta tokens SAML forjados em plataformas SaaS como logins que tiveram sucesso sem MFA, ou onde tokens contêm claims inconsistentes com o perfil do usuário, monitorando especialmente sessões concorrentes em geografias diferentes com o mesmo ID de assertion SAML. A telemetria necessária inclui logs de auditoria do provedor SaaS (Okta, Salesforce, Google Workspace), análise de geolocalização de sessões e verificação de unicidade de assertion IDs SAML para detectar replay de tokens. Essa detecção é importante porque tokens SAML forjados em SaaS frequentemente não requerem comprometimento de senha, tornando-os invisíveis para controles baseados em credenciais tradicionais. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1606-002-forge-web-credentials-saml-tokens|T1606.002 — SAML Tokens]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0421](https://attack.mitre.org/detectionstrategies/DET0148#AN0421)*