# AN0978 — Analytic 0978 ## Descrição Este analítico detecta escalada de privilégios inesperada em provedores de identidade através de manipulação de asserções SAML, injeção de roles ou alterações em mapeamentos de identidade que resultam em acesso elevado não autorizado. A telemetria utilizada inclui logs de auditoria do Identity Provider (Okta, Azure AD, ADFS), eventos SAML de federação e registros de mudança de atribuição de papéis, correlacionando alterações de identidade com sessões autenticadas subsequentes de alto privilégio. A detecção é crítica porque ataques de Golden SAML — como os usados pelo grupo APT29/Cozy Bear — permitem que atacantes se autentiquem como qualquer usuário em sistemas federados sem deixar rastros no diretório alvo. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0978](https://attack.mitre.org/detectionstrategies/DET0345#AN0978)*