# AN1469 — Analytic 1469 ## Descrição Detecta a adição de credenciais (chaves, senhas de aplicativos, certificados x.509) a contas de nuvem existentes, service principals ou aplicativos OAuth via portal ou API por identidades ou faixas de IP não padrão. A telemetria inclui logs de auditoria do provedor de identidade (Azure AD, Okta, Google Workspace), alertas de operações administrativas de credenciais e correlação com padrões de acesso geográfico anômalos. Esta analítica é importante para detectar persistência via manipulação de credenciais em nuvem, técnica utilizada por adversários após comprometimento inicial para manter acesso mesmo após rotação de senhas de usuários. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN1469](https://attack.mitre.org/detectionstrategies/DET0531#AN1469)*