# AN0088 — Analytic 0088 ## Descrição Detecta atualizações suspeitas em políticas de acesso condicional ou aplicação de MFA em provedores de identidade como Entra ID, Okta ou JumpCloud, com foco na remoção de bloqueios de política, adição de exclusões amplas ou registro de métodos MFA controlados pelo adversário. A telemetria abrange logs de auditoria do provedor de identidade (Okta System Log, Microsoft Entra Audit Logs), alertas de Device Compliance, e correlação com atividade de login anômala subsequente que aproveita as políticas modificadas. Este analítico é crítico para detectar o padrão de ataque de "MFA bypass" frequentemente utilizado por grupos de ransomware como ALPHV/BlackCat para manter acesso persistente. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0088](https://attack.mitre.org/detectionstrategies/DET0030#AN0088)*