# AN0290 — Analytic 0290 ## Descrição Esta analítica detecta alterações suspeitas em fluxos de autenticação de IdP, como habilitação de criptografia reversível de senha, bypass de MFA ou enfraquecimento de políticas, correlacionando eventos de modificação de política com atividade administrativa incomum. A telemetria é obtida via logs de auditoria do provedor de identidade (Okta System Log, Azure AD Audit Logs, AD Event ID 4739) e alertas de políticas de acesso condicional. A detecção é crítica pois o enfraquecimento de políticas de autenticação em IdP é pré-condição para ataques de larga escala como o comprometimento da cadeia de suprimentos da SolarWinds, onde o adversário desabilitou MFA para facilitar o movimento lateral. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1556-006-multi-factor-authentication|T1556.006 — Multi-Factor Authentication]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0290](https://attack.mitre.org/detectionstrategies/DET0104#AN0290)*