# AN0956 — Analytic 0956 ## Descrição Detecta replay de token ou impersonação em logins federados sem sessão de browser interativa ou prompts de MFA correspondentes. A telemetria inclui logs de autenticação do Identity Provider (SAML assertions, OAuth tokens), eventos de login federado e análise de anomalias como ausência de MFA challenge em acessos de contas habilitadas para MFA. Esse padrão é indicativo de ataques de token theft em ambientes com federação de identidade, como exploração de SAML no contexto de compromissos de Office 365 e Azure AD. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] --- *Fonte: [MITRE ATT&CK — AN0956](https://attack.mitre.org/detectionstrategies/DET0338#AN0956)*