# AN1616 — Analytic 1616 ## Descrição Esta analítica detecta enumeração de objetos de usuário ou roles via endpoints de API de provedores de identidade (Okta, Azure AD) ou consultas LDAP em lote, padrão observado quando adversários mapeiam o diretório corporativo após comprometer uma conta com acesso ao IdP. A telemetria inclui logs de auditoria do IdP monitorando volumes anormais de consultas de leitura de objetos, consultas LDAP com filtros amplos (`(objectClass=user)`) e acesso a endpoints de listagem de usuários fora de fluxos de provisionamento esperados. Esta detecção é crítica porque provedores de identidade são a fonte de autoridade para controle de acesso em ambientes modernos, e sua enumeração permite ao adversário identificar contas privilegiadas para targeting. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] --- *Fonte: [MITRE ATT&CK — AN1616](https://attack.mitre.org/detectionstrategies/DET0587#AN1616)*