# AN0809 — Analytic 0809 ## Descrição Esta analítica detecta logins bem-sucedidos em portais de identidade na nuvem (Okta, Azure AD, Google Identity) a partir de geolocalizações atípicas, dispositivos desconhecidos ou user-agents incomuns, imediatamente seguidos de navegação a páginas sensíveis como configuração de usuários ou aplicações. A telemetria utilizada inclui logs de autenticação do IdP correlacionados com dados de geolocalização e fingerprint de dispositivo. Esta detecção é crítica para identificar o uso indevido de credenciais comprometidas por atacantes externos que assumem o controle de contas de identidade privilegiadas. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN0809](https://attack.mitre.org/detectionstrategies/DET0291#AN0809)*