# AN0544 — Analytic 0544 ## Descrição Este analítico detecta alterações em políticas de acesso condicional, exclusão de contas da aplicação do MFA ou registro de novos fatores MFA por usuários não-admin ou anômalos em provedores de identidade em nuvem. A telemetria inclui logs de auditoria do Azure AD/Okta (eventos de alteração de política de acesso condicional, registro de método MFA), alertas de Privileged Identity Management e eventos de provisionamento de usuário incomuns. Modificações em políticas de MFA de IdP têm impacto em cascata em todos os sistemas integrados e são frequentemente a primeira etapa em ataques de comprometimento de identidade cloud de larga escala. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0544](https://attack.mitre.org/detectionstrategies/DET0190#AN0544)*