det0488-detect-abuse-of-trusted-relationships-third-party-and-delegated-admin-ac

# DET0488 — Detect abuse of Trusted Relationships (third-party and delegated admin access) ## Descrição O abuso de relacionamentos de confiança com terceiros é uma técnica em que adversários comprometem fornecedores, parceiros ou provedores de serviços gerenciados (MSPs) para obter acesso privilegiado às redes dos clientes finais. Delegated Admin Access no Microsoft 365, acesso por service accounts de terceiros e conexões de VPN de parceiros são vetores comuns. Essa técnica é mapeada como [[t1199-trusted-relationship|T1199 — Trusted Relationship]] no MITRE ATT&CK e foi o vetor primário do ataque SolarWinds, executado pelo [[g0016-apt29|APT29]]. A detecção foca em anomalias de acesso por contas de terceiros: logins fora do horário de serviço contratado, acessos de geolocalização inconsistente com o país do fornecedor, escalada de privilégios por contas de parceiros e uso de permissões delegadas além do escopo esperado. Em ambientes Microsoft 365, o monitoramento de atividades de Delegated Admin Privileges (DAP) e transferências de licenças é crítico. MSPs comprometidos podem afetar dezenas a centenas de organizações clientes simultaneamente. O modelo de detecção requer baseline comportamental por fornecedor: horários de acesso típicos, sistemas acessados, operações realizadas e volume de dados transferidos. Desvios significativos desse baseline — especialmente combinados com acesso a sistemas sensíveis ou exfiltração de dados — constituem alertas de alta prioridade. A cadeia de comprometimento SolarWinds demonstrou que o acesso de terceiros pode ser mantido por meses antes da detecção. ## Indicadores de Detecção - Conta de terceiro/MSP autenticando fora do horário de serviço estabelecido em contrato ou SLA - Acesso de geolocalização inconsistente com localização documentada do fornecedor (ex: MSP brasileiro acessando de IP europeu) - Uso de permissões de Delegated Admin além do escopo contratual (ex: acesso a dados não relacionados ao serviço) - Service account de terceiro realizando enumeração de usuários, grupos ou políticas de segurança - Criação de novas contas ou modificação de permissões por conta de acesso de parceiro - Volume anômalo de dados acessados ou exportados por conexão de terceiro em sessão única - Tentativa de desabilitar logging ou auditoria por conta de acesso delegado ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1078.004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] ## Analytics Relacionadas - [[an1344-analytic-1344|AN1344 — Analytic 1344]] - [[an1345-analytic-1345|AN1345 — Analytic 1345]] - [[an1346-analytic-1346|AN1346 — Analytic 1346]] - [[an1347-analytic-1347|AN1347 — Analytic 1347]] - [[an1348-analytic-1348|AN1348 — Analytic 1348]] - [[an1349-analytic-1349|AN1349 — Analytic 1349]] - [[an1350-analytic-1350|AN1350 — Analytic 1350]] --- *Fonte: [MITRE ATT&CK — DET0488](https://attack.mitre.org/detectionstrategies/DET0488)*