# AN1128 — Analytic 1128 ## Descrição Detecta enumeração de diretórios, aplicações ou service principals por meio de APIs como Microsoft Graph ou Okta API, com foco em listagens inesperadas de usuários, funções e aplicações. A telemetria inclui logs de auditoria do provedor de identidade, registros de acesso à API e alertas de anomalia comportamental para identificar enumeração excessiva ou acesso a endpoints de gerenciamento de identidade incomuns. Esse comportamento é crítico de detectar porque a enumeração de identity providers é tipicamente o primeiro passo para ataques de escalonamento de privilégios e comprometimento de contas em massa. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1526-cloud-service-discovery|T1526 — Cloud Service Discovery]] --- *Fonte: [MITRE ATT&CK — AN1128](https://attack.mitre.org/detectionstrategies/DET0402#AN1128)*