# AN0449 — Analytic 0449 ## Descrição Detecta notificações push de MFA excessivas ou anômalas ou requisições de token, especialmente quando tentativas de login originam de IPs incomuns ou geolocalizações e não correspondem a sessões legítimas iniciadas pelo usuário. A telemetria necessária inclui logs de auditoria do provedor de identidade (Okta, Azure AD, Duo) para rastrear volume e frequência de desafios MFA por usuário, análise de geolocalização de requisições de autenticação e alertas quando o usuário nega ou deixa expirar múltiplos pushes em sequência. Essa detecção identifica ataques de MFA Fatigue (bombing), técnica explorada pelo grupo [[g1015-scattered-spider]] para comprometer contas corporativas em empresas como MGM Resorts e Caesars Entertainment. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0449](https://attack.mitre.org/detectionstrategies/DET0160#AN0449)*