# AN0815 — Analytic 0815 ## Descrição Esta analítica detecta o registro de novos agentes PTA (Pass-Through Authentication), alterações em políticas de acesso condicional que enfraquecem o enforcement de MFA híbrido, ou atualizações suspeitas nas configurações de token-signing do AD FS. A telemetria utilizada inclui logs de auditoria do Azure AD, eventos de configuração do AD FS e registros de alterações em conectores de autenticação. Esta detecção importa pois modificações nesses componentes podem permitir que adversários contornem autenticação multifator e forjem tokens de identidade para acesso persistente e não autorizado a recursos corporativos. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0815](https://attack.mitre.org/detectionstrategies/DET0293#AN0815)*