# AN0818 — Analytic 0818 ## Descrição Esta analítica detecta mudanças suspeitas em configurações de federação SAML/OAuth, como novos certificados de assinatura, endpoints alterados ou regras de emissão de claims que concedem privilégios elevados. A telemetria utilizada inclui logs de auditoria de plataformas SaaS e eventos de gerenciamento de identity providers, monitorando modificações em metadados de federação e configurações de trust. Esta detecção é crítica pois a adulteração de configurações SAML/OAuth é uma técnica usada por grupos como APT29 para criar backdoors persistentes em ambientes SaaS sem necessitar de credenciais de usuário convencionais. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1606-002-saml-tokens|T1606.002 — SAML Tokens]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0818](https://attack.mitre.org/detectionstrategies/DET0293#AN0818)*