# AN0816 — Analytic 0816 ## Descrição Esta analítica detecta chamadas de API que registram ou atualizam conectores de identidade híbrida, modificações na confiança de federação entre nuvem e on-premises, e logs incomuns de emissão de tokens. A telemetria utilizada inclui logs de auditoria de plataformas IaaS como AWS CloudTrail e Azure Activity Log, monitorando operações de gerenciamento de federação e trust policies. Esta detecção é essencial em arquiteturas de identidade híbrida onde a manipulação de trust federation pode permitir emissão fraudulenta de tokens com privilégios elevados para toda a organização. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0816](https://attack.mitre.org/detectionstrategies/DET0293#AN0816)*