# AN0103 — Analytic 0103 ## Descrição Detecta o registro de novos dispositivos em contas de usuário comprometidas para contornar políticas de MFA ou acesso condicional via portais de auto-inscrição do Azure Entra ID, Okta ou Duo. A telemetria inclui logs de auditoria do provedor de identidade para eventos de registro de dispositivo (DeviceRegistration, EnrollDevice), correlação com geolocalização e agente de usuário, e comparação com dispositivos registrados historicamente para a conta. Este analítico detecta o cenário de "adversary-in-the-middle" onde o atacante, com credenciais válidas, registra um dispositivo próprio para obter persistência independente da senha e contornar MFA. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0103](https://attack.mitre.org/detectionstrategies/DET0036#AN0103)*