# AN1087 — Analytic 1087 ## Descrição Este analítico detecta a enumeração de roles e usuários de identidade via chamadas de API como `Get-MsolRoleMember`, `az ad user list` ou tokens da Graph API por usuários não autorizados ou contas de automação suspeitas. Utiliza telemetria de logs de auditoria de Azure AD, Okta e Google Workspace para identificar padrões incomuns de consulta a diretórios de identidade. A detecção é crítica porque a enumeração de identidades privilegiadas é um precursor direto de escalonamento de privilégios em ambientes de nuvem, permitindo ao adversário identificar alvos para comprometimento de contas de alto valor. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN1087](https://attack.mitre.org/detectionstrategies/DET0386#AN1087)*