# AN0674 — Analytic 0674 ## Descrição Monitora eventos anômalos de inscrição de certificados em plataformas de identidade, uso inesperado de certificados de assinatura de token e modificações incomuns na configuração de autoridades certificadoras (CA). A telemetria inclui logs de auditoria do Azure AD/Entra ID, Okta System Log e logs do AD FS que registram operações em certificados SAML de assinatura de token e mudanças nas configurações de CA federada. Essa analítica é fundamental para detectar o ataque Golden SAML, onde adversários forjam tokens SAML usando certificados roubados de assinatura de token, obtendo acesso persistente a qualquer recurso federado sem precisar de credenciais de usuário. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0674](https://attack.mitre.org/detectionstrategies/DET0240#AN0674)*