det0458-detection-of-trust-relationship-modifications-in-domain-or-tenant-polici

# DET0458 — Detection of Trust Relationship Modifications in Domain or Tenant Policies ## Descrição Relações de confiança entre domínios Active Directory e tenants de nuvem (Azure AD/Entra ID) definem quais usuários e serviços de um ambiente podem acessar recursos de outro. Adversários que comprometem contas com privilégios de administrador de domínio ou de tenant podem modificar essas relações de confiança para expandir seu acesso a ambientes previamente isolados, criar backdoors de longo prazo ou facilitar movimento lateral entre organizações. No Active Directory, ataques como Golden Ticket, a modificação de trusts de floresta e a criação de trusts com domínios controlados pelo atacante são usados para persistência. No Azure AD, a adição de aplicações com permissões delegadas excessivas, modificação de políticas de acesso condicional, e criação de relações de federation com IdPs controlados pelo adversário são técnicas documentadas em ataques como o SolarWinds (atribuído ao [[g0016-apt29|APT29]]). A detecção exige monitoramento de eventos de modificação de trust no Active Directory (eventos 4706, 4707), mudanças em políticas de acesso condicional no Azure AD, adição de aplicações OAuth com permissões de alto impacto, e criação ou modificação de configurações de federation. ## Indicadores de Detecção - Evento Windows 4706 (novo trust de domínio criado) ou 4707 (trust removido) por conta não-service account - Modificação de configuração de federation no Azure AD/Entra ID adicionando novo IdP externo - Adição de aplicação OAuth com permissões `Directory.ReadWrite.All`, `Mail.ReadWrite` ou `RoleManagement.ReadWrite` - Criação de trust de floresta bidirecional com domínio externo sem aprovação de mudança registrada - Evento Azure AD de `Updaté domain authentication` ou `Set federation settings on domain` - Grant de permissão de aplicação de alto impacto por service principal recém-criado ## Técnicas Relacionadas - [[T1484002-domain-trust-modification|T1484.002 — Domain Trust Modification]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[T1078004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] ## Analytics Relacionadas - [[an1259-analytic-1259|AN1259 — Analytic 1259]] - [[an1260-analytic-1260|AN1260 — Analytic 1260]] --- *Fonte: [MITRE ATT&CK — DET0458](https://attack.mitre.org/detectionstrategies/DET0458)*