# AN0802 — Analytic 0802 ## Descrição Esta analítica detecta a desabilitação ou modificação de coletas de log de entrada e auditoria para atividades de usuário em provedores de identidade. Utiliza como telemetria os logs de políticas e configurações do IdP, monitorando mudanças que removem cobertura de auditoria para contas críticas. Essa detecção é fundamental pois adversários frequentemente desativam logs antes de executar ações maliciosas para cobrir seus rastros e dificultar investigações forenses. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-002-disable-windows-event-logging|T1562.002 — Disable Windows Event Logging]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0802](https://attack.mitre.org/detectionstrategies/DET0289#AN0802)*