# AN1607 — Analytic 1607 ## Descrição Esta analítica detecta criação de usuários via APIs ou portais de IAM/IdP (como Azure AD, Okta, Google Workspace) por adversários que comprometeram credenciais administrativas ou tokens de serviço. A telemetria utilizada inclui logs de ações administrativas do IdP, auditoria de chamadas API correlacionada com atribuições de papéis (roles) e grupos criados em sequência incomum. A detecção é crítica em ambientes cloud porque a criação de contas em provedores de identidade concede acesso abrangente a múltiplos serviços e sistemas integrados ao IdP. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] --- *Fonte: [MITRE ATT&CK — AN1607](https://attack.mitre.org/detectionstrategies/DET0583#AN1607)*