# AN1546 — Analytic 1546 ## Descrição Este analítico detecta abuso de contas válidas em logs de IdP por meio de anomalias geográficas, viagens impossíveis (logins de países diferentes em intervalos fisicamente impossíveis), sign-ins de risco e múltiplas tentativas ou falhas de MFA que indicam comprometimento de credenciais ou ataques de MFA fatigue. A telemetria é baseada nos logs de eventos de sign-in do provedor de identidade (Azure AD Sign-in Logs, Okta System Log, Google Workspace Login Reports) que incluem localização, dispositivo, método de autenticação e sinais de risco calculados. A relevância é crítica pois o comprometimento de contas em IdPs é o ponto de entrada para acesso a todos os serviços integrados, representando alto impacto potencial em toda a infraestrutura SaaS corporativa. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1078-004-cloud-accounts|T1078.003 — Valid Accounts: Cloud Accounts]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1621-multi-factor-authentication-request-generation|T1621 — Multi-Factor Authentication Request Generation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN1546](https://attack.mitre.org/detectionstrategies/DET0560#AN1546)*