# AN0104 — Analytic 0104 ## Descrição Detecta o registro de um dispositivo Windows no Azure Entra ID ou o bypass de acesso condicional ao adicionar dispositivo via pipeline de registro Intune usando credenciais roubadas. A telemetria abrange logs de auditoria do Microsoft Entra (AuditLogs com categoria DeviceManagement), eventos de registro de dispositivo no Intune, e correlação com IP de origem, agente de usuário e conformidade do dispositivo. Este analítico é importante para identificar ataques onde adversários utilizam credenciais comprometidas para registrar dispositivos não gerenciados na organização, obtendo assim um ponto de acesso persistente que sobrevive a redefinições de senha. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] --- *Fonte: [MITRE ATT&CK — AN0104](https://attack.mitre.org/detectionstrategies/DET0036#AN0104)*