# AN0268 — Analytic 0268 ## Descrição Esta analítica detecta modificações em atributos de usuário SSO/SAML como `isAdmin`, alteração de papel (role), bypass de MFA ou atribuição de aplicativos, frequentemente realizadas via CLI, API ou aplicativos IdP não autorizados. A telemetria é obtida via logs de auditoria do provedor de identidade (Okta, Azure AD, OneLogin) e alertas de políticas de acesso condicional. A detecção é crítica pois a elevação furtiva de privilégios em provedores de identidade permite ao adversário comprometer toda a plataforma SaaS da organização com uma única modificação. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0268](https://attack.mitre.org/detectionstrategies/DET0096#AN0268)*