# AN0548 — Analytic 0548 ## Descrição Este analítico detecta alterações suspeitas de método MFA em ambientes SaaS, como registro de fatores mais fracos (como SMS) ou remoção de requisitos de MFA para contas ou grupos específicos. A telemetria inclui logs de auditoria do provedor SaaS (Microsoft 365, Google Workspace), eventos de alteração de método de autenticação, alertas de UEBA para modificações de perfil de segurança de usuário e logs de acesso após downgrade de MFA. O downgrade de MFA de TOTP ou hardware token para SMS é uma técnica usada para facilitar ataques de SIM swapping, tornando as contas vulneráveis mesmo com MFA habilitado. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0548](https://attack.mitre.org/detectionstrategies/DET0190#AN0548)*