# AN0087 — Analytic 0087 ## Descrição Detecta modificações em condições ou políticas IAM que alteram o comportamento de autenticação, como adição de IPs confiáveis permissivos, remoção de requisitos de MFA, ou alteração de restrições de acesso regional. A telemetria inclui logs de CloudTrail (AWS) ou equivalentes Azure/GCP para rastrear atualizações de políticas, além de análise de comportamento de login subsequente a partir de regiões ou dispositivos previamente bloqueados. Este analítico é importante porque a manipulação silenciosa de políticas IAM é uma técnica de persistência sofisticada utilizada por grupos de ameaças focados em infraestrutura de nuvem. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN0087](https://attack.mitre.org/detectionstrategies/DET0030#AN0087)*