# AN1260 — Analytic 1260 ## Descrição Detecta adversários que adicionam provedores de identidade federados (IdP) ou modificam a autenticação de domínio tenant de Managed para Federated via API, PowerShell ou Portal de Administração. A telemetria inclui eventos de federação como 'Set domain authentication', 'Add federated identity provider' ou 'Updaté-MsolFederatedDomain' nos logs de auditoria do Azure AD ou Okta. Essa análise é essencial para detectar ataques de Golden SAML onde adversários manipulam a federação de identidade para forjar tokens de autenticação e obter acesso persistente a recursos em nuvem. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1484.002-domain-trust-modification|T1484.002 — Domain Trust Modification]] - [[t1556.006-multi-factor-authentication|T1556.006 — Multi-Factor Authentication]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1260](https://attack.mitre.org/detectionstrategies/DET0458#AN1260)*