# AN0545 — Analytic 0545 ## Descrição Este analítico detecta chamadas de API para configurações de secrets ou MFA em nuvem onde políticas de enforcement de MFA são desabilitadas ou contornadas. A telemetria inclui AWS CloudTrail (eventos IAM de modificação de política MFA, chamadas `DeleteVirtualMFADevice` ou `DeactivateMFADevice`), GCP Cloud Audit Logs para operações de política de autenticação e alertas de AWS Config/Security Hub para mudanças de configuração críticas. Desabilitar MFA em contas cloud com privilégios elevados pode comprometer completamente a postura de segurança de identidade de toda a infraestrutura IaaS, tornando esse analítico de alta prioridade. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0545](https://attack.mitre.org/detectionstrategies/DET0190#AN0545)*