# AN0718 — Analytic 0718 ## Descrição Detecta forjamento de credenciais web manifestado como emissão anômala de token SAML, criação de token OpenID Connect ou uso de chave de pré-autenticação Zimbra, com tokens emitidos sem eventos de autenticação normais, múltiplos tokens válidos gerados simultaneamente ou anomalias de assinatura nos logs do IdP. A telemetria inclui logs de auditoria do AD FS (Event ID 1202/1200), Azure AD Sign-In Logs, Okta System Log e logs do Shibboleth que identificam emissões de token SAML com atributos de sessão incomuns ou fora de solicitações de autenticação de usuário legítimas. Essa analítica é fundamental para detectar o ataque Golden SAML — amplamente documentado na campanha SolarWinds/APT29 — onde adversários com acesso a certificados de assinatura de token forjam tokens SAML para qualquer usuário em serviços federados. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0718](https://attack.mitre.org/detectionstrategies/DET0260#AN0718)*