# AN0756 — Analytic 0756 ## Descrição Esta analítica detecta modificações de políticas de tenant via alterações na configuração de federação, configurações de trust ou adição de provedores de identidade no Microsoft 365/Azure AD via Portal, PowerShell ou Graph API. A telemetria inclui logs de auditoria do Azure AD (operações de SetDomainAuthentication, Set-MsolDomainAuthentication), logs de auditoria do Microsoft 365 e alertas de Security Center do Azure. A detecção é crítica para identificar ataques de Golden SAML e comprometimento de provedores de identidade, que permitem ao adversário gerar tokens de autenticação válidos sem credenciais. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0756](https://attack.mitre.org/detectionstrategies/DET0270#AN0756)*