# AN1347 — Analytic 1347 ## Descrição Detecta a cadeia comportamental de acesso via identidade delegada: (1) admin delegado ou identidade externa estabelece sessão (como parceiro/revendedor DAP, convidado B2B, trust SAML/OAuth); (2) elevação de role ou concessão de permissão de app/consent; (3) ações privilegiadas downstream no tenant. Correlaciona eventos de sign-in do IdP, atribuição de admin/role e eventos de consent/admin-on-behalf. A telemetria inclui logs de sign-in do Azure AD, eventos de modificação de role, logs de consentimento de aplicativo e alertas do Microsoft Secure Score sobre permissões delegadas suspeitas. Esta detecção é crítica para ambientes Microsoft 365 onde relações de administração delegada com parceiros são frequentemente exploradas por adversários que comprometem contas de revendedores para obter acesso a múltiplos tenants de clientes simultaneamente. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-003-cloud-account|T1136.003 — Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN1347](https://attack.mitre.org/detectionstrategies/DET0488#AN1347)*