# AN1157 — Analytic 1157 ## Descrição Detecta chamadas de API ou de console não autorizadas para recuperar ou resetar credenciais de senha, baixar material de chave ou modificar configurações de SSO em provedores de identidade. A telemetria utilizada inclui logs de auditoria do identity provider (Okta System Log, Azure AD Sign-in Logs, AWS CloudTrail), alertas de comportamento anômalo de administradores e monitoramento de mudanças de configuração críticas. Esse analítico é de alta prioridade porque ações maliciosas em provedores de identidade podem ter impacto em cascata sobre todos os sistemas e aplicações federadas da organização. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN1157](https://attack.mitre.org/detectionstrategies/DET0412#AN1157)*