# AN0453 — Analytic 0453 ## Descrição Detecta logins OAuth ou SSO anômalos que geram repetidamente desafios MFA, especialmente onde aprovações MFA são negadas ou expiram por timeout, indicando possível ataque de MFA bombing contra aplicações SaaS. A telemetria necessária inclui logs de auditoria do provedor de identidade (Okta, OneLogin, Azure AD) para rastrear padrões de negação/timeout de MFA por sessão de autenticação, análise de correlação entre tentativas OAuth frustradas e aprovações subsequentes e alertas baseados em número de pushes negados por conta em janela de tempo. Essa detecção é crítica para plataformas SaaS corporativas, pois uma única aprovação MFA acidental em plataformas como Salesforce, ServiceNow ou GitHub pode fornecer ao adversário acesso a dados empresariais altamente sensíveis. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — MFA Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-001-use-alternate-authentication-material-application-access-token|T1550.001 — Application Access Token]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN0453](https://attack.mitre.org/detectionstrategies/DET0160#AN0453)*