# AN0459 — Analytic 0459 ## Descrição Detecta cadeia de reconhecimento de política de autenticação em IdP: operações de leitura de política por um principal (como requisições ao Microsoft Entra/Graph para ler políticas de senha ou autenticação) seguidas de mudanças arriscadas adjacentes (atribuição de papel, consentimento de app) pelo mesmo principal. A telemetria necessária inclui logs de auditoria do IdP (Microsoft Entra, Okta) para rastrear operações de leitura de política de autenticação correlacionadas com modificações de configuração de segurança subsequentes pelo mesmo ator. Essa detecção é crítica em ambientes de identidade corporativa, onde o reconhecimento de políticas de senha e MFA precede frequentemente a tentativa de criar lacunas de segurança como desabilitação de MFA para contas específicas. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0459](https://attack.mitre.org/detectionstrategies/DET0161#AN0459)*