# AN0892 — Analytic 0892 ## Descrição Este analytic detecta alterações em configurações de segurança do provedor de identidade, como a desabilitação de requisitos de MFA, redução do tempo de vida de tokens de sessão ou desativação de políticas baseadas em risco. A telemetria relevante inclui logs de auditoria do IdP (Azure AD, Okta, Entra ID) correlacionando logins administrativos com rebaixamentos súbitos de política de segurança. Reduzir controles de identidade é uma técnica de persistência sofisticada que permite ao adversário manter acesso persistente mesmo após redefinição de senha, sendo especialmente perigosa em arquiteturas zero-trust que dependem fortemente da integridade das políticas de identidade. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0892](https://attack.mitre.org/detectionstrategies/DET0317#AN0892)*