# AN0772 — Analytic 0772 ## Descrição Esta analítica detecta uma cadeia comportamental de usuário recebendo privilégios elevados ou papéis no Entra ID (Azure AD) ou Okta após atividade suspeita de login ou criação de conta. A telemetria inclui logs de auditoria do Entra ID (operações DirectoryRoleAssignment, RoleAssignmentCreate), logs de auditoria do Okta e correlação com eventos de autenticação de risco elevado da Identity Protection. A detecção é importante porque comprometimento de conta seguido de escalada de privilégios via IdP é o padrão típico em ataques de BEC (Business Email Compromise) avançados e comprometimento de tenants cloud. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0772](https://attack.mitre.org/detectionstrategies/DET0277#AN0772)*