# AN1079 — Analytic 1079 ## Descrição Este analítico detecta a criação de contas em cloud ou IdP cujos nomes se assemelham a contas privilegiadas ou de serviço existentes, podendo indicar preparação para escalonamento de privilégios ou evasão de defesas. Utiliza telemetria de logs de auditoria de provedores de identidade (Azure AD, Okta, Google Workspace) e análise de similaridade de nomes para identificar contas suspeitas recém-criadas. A detecção é importante porque adversários frequentemente criam contas mascaradas em ambientes cloud para manter acesso persistente que não é facilmente identificado em revisões de acesso rotineiras. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN1079](https://attack.mitre.org/detectionstrategies/DET0383#AN1079)*