det0030-detect-conditional-access-policy-modification-in-identity-and-cloud-plat

# DET0030 — Detect Conditional Access Policy Modification in Identity and Cloud Platforms ## Descrição Esta estratégia detecta modificações maliciosas em políticas de Acesso Condicional (Conditional Access) em plataformas de identidade em nuvem como Microsoft Entra ID (Azure AD), Okta e similares. Adversários com acesso administrativo modificam ou desativam essas políticas para remover requisitos de MFA, ampliar o escopo de IPs confiáveis, ou criar exceções que permitem acesso persistente a partir de dispositivos ou localizações não gerenciadas. A telemetria primária são os logs de auditoria das plataformas de identidade: eventos de modificação, criação ou exclusão de Conditional Access Policies devem ser alertados imediatamente, especialmente quando realizados fora do ciclo normal de mudanças (change management). Em Entra ID, os eventos relevantes são registrados como `Updaté conditional access policy` e `Delete conditional access policy` no Azure AD Audit Log. A correlação com o contexto do usuário é essencial: modificações realizadas por contas de serviço (service principals), por usuários que nunca realizaram tarefas administrativas anteriormente, ou imediatamente após um evento de login de novo país/IP são altamente suspeitas. O impacto pode ser catastrófico: a remoção de MFA para administradores globais é um precursor comum de comprometimento total de tenant. ## Indicadores de Detecção - Evento `Updaté conditional access policy` desativando ou relaxando requisito de MFA - Criação de nova política excluindo grupos administrativos do MFA - Adição de IP range externo ou desconhecido como "trusted location" - Modificação de política realizada por service principal sem histórico de gestão de CA - Alteração de política fora do horário comercial ou por usuário em localização geográfica atípica - Exclusão de política existente sem ticket de change management correspondente - Criação de "Named Location" com range de IP de países não-operacionais - Evento Okta `policy.rule.updaté` removendo `MFA_REQUIRED` de fatores de autenticação ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0087-analytic-0087|AN0087 — Analytic 0087]] - [[an0088-analytic-0088|AN0088 — Analytic 0088]] --- *Fonte: [MITRE ATT&CK — DET0030](https://attack.mitre.org/detectionstrategies/DET0030)*