# AN1503 — Analytic 1503 ## Descrição Detecta atividade de autenticação anômala, como logins de geolocalizações impossíveis (travel impossível) ou uso de protocolos legados por contas com privilégios elevados. A telemetria inclui logs de autenticação do provedor de identidade (Azure AD, Okta, PingFederaté), alertas de localização impossível e monitoramento de uso de protocolos de autenticação obsoletos como Basic Auth ou NTLM por contas administrativas. Esta analítica é fundamental para detectar uso de credenciais comprometidas em ambientes de identidade federada, onde adversários frequentemente acessam contas privilegiadas a partir de infraestrutura VPN ou proxy para mascarar geolocalização real. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN1503](https://attack.mitre.org/detectionstrategies/DET0546#AN1503)*