# AN0496 — Analytic 0496 ## Descrição Este analítico detecta exploração de vulnerabilidades em provedores de identidade em nuvem (IdPs) como Azure AD ou Okta para acesso a credenciais, identificando criação ou renovação anômala de tokens, eventos de bypass de autenticação e abuso de APIs para emissão de tokens não autorizados. A telemetria inclui logs de auditoria do Azure AD/Okta, eventos de emissão de tokens SAML/OAuth, alertas de acesso condicional e registros de API de provisionamento. Essa detecção é estratégica pois a comprometimento de um IdP em nuvem pode fornecer acesso em cascata a todos os sistemas e aplicações integrados ao provedor de identidade. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0496](https://attack.mitre.org/detectionstrategies/DET0174#AN0496)*