# AN0814 — Analytic 0814 ## Descrição Esta analítica detecta injeção ou adulteração de DLLs em agentes de identidade híbrida como o `AzureADConnectAuthenticationAgentService`, além de alterações de registro ou configuração vinculadas a PTA/AD FS e carregamentos anômalos de módulos no LSASS correlacionados com anomalias de autenticação. A telemetria utilizada inclui logs do Sysmon (carregamento de módulos, Event ID 7), logs de segurança do Windows e eventos do AD FS. Esta detecção é crítica pois comprometer agentes de identidade híbrida permite que adversários interceptem credenciais em texto claro durante a autenticação federated, afetando todo o ambiente on-premises e na nuvem. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1556-001-domain-controller-authentication|T1556.001 — Domain Controller Authentication]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0814](https://attack.mitre.org/detectionstrategies/DET0293#AN0814)*