# AN0450 — Analytic 0450 ## Descrição Detecta atividade anômala de MFA dentro de logs de provedores de serviço em nuvem, como geração repetida de desafios MFA para a mesma sessão de usuário ou incompatibilidade entre dispositivo MFA e origem de login. A telemetria necessária inclui logs de autenticação AWS IAM Identity Center, Azure AD Sign-In Logs ou GCP Cloud Identity para rastrear padrões de desafio MFA e correlacionar IP de origem com localização esperada do dispositivo MFA registrado. Essa detecção é importante em ambientes IaaS onde o comprometimento de contas por MFA Fatigue pode fornecer acesso irrestrito a toda a infraestrutura cloud, possibilitando deleção de recursos, exfiltração de dados ou instalação de backdoors em instâncias. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0450](https://attack.mitre.org/detectionstrategies/DET0160#AN0450)*