# AN0422 — Analytic 0422 ## Descrição Detecta uso de tokens SAML forjados para acessar aplicações O365 como Outlook ou SharePoint, monitorando replay de tokens em múltiplos clientes ou tentativas de acesso a caixas de correio privilegiadas sem login interativo prévio. A telemetria necessária inclui logs do Microsoft 365 Unified Audit Log (UAL), alertas do Azure AD Identity Protection e correlação entre eventos de autenticação de aplicações e logins interativos no mesmo período. Essa detecção é especialmente relevante para defender ambientes corporativos que usam Microsoft 365, onde tokens SAML comprometidos podem fornecer acesso a e-mails executivos e dados confidenciais sem que o usuário perceba qualquer atividade anômala. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1606-002-forge-web-credentials-saml-tokens|T1606.002 — SAML Tokens]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] --- *Fonte: [MITRE ATT&CK — AN0422](https://attack.mitre.org/detectionstrategies/DET0148#AN0422)*