# AN1106 — Analytic 1106 ## Descrição Este analítico detecta criação de tokens ou delegação de acesso onde um usuário se faz passar por uma conta de serviço com privilégios mais elevados ou realiza ações de delegação em nível de domínio, como o papel `serviceAccountTokenCreator` no GCP ou impersonação no Google Workspace. Utiliza telemetria de Cloud Audit Logs (GCP) e logs de auditoria do Google Workspace para identificar criação anômala de tokens e delegação de identidade. A detecção é importante porque a impersonação de contas de serviço privilegiadas em plataformas cloud é uma técnica avançada de escalonamento de privilégios que pode conceder acesso irrestrito a recursos sensíveis. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1106](https://attack.mitre.org/detectionstrategies/DET0393#AN1106)*