# AN0899 — Analytic 0899 ## Descrição Este analytic detecta adversários que criam contas de usuário via APIs do provedor de identidade ou portais administrativos (Azure AD, Okta), onde as contas podem ser associadas a privilégios elevados ou usadas em autenticações encadeadas. A telemetria inclui logs de auditoria do IdP monitorando atividades de criação de usuário a partir de IPs suspeitos ou fontes de automação, seguidas de escalada de função ou permissão. A criação de contas parasita em provedores de identidade é uma forma de persistência persistente mesmo após detecção, pois as contas sobrevivem a reimplantações de sistemas e são frequentemente negligenciadas em revisões de acesso. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136-003-cloud-account|T1136.003 — Cloud Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0899](https://attack.mitre.org/detectionstrategies/DET0319#AN0899)*