det0036-suspicious-device-registration-via-entra-id-or-mfa-platform

# DET0036 — Suspicious Device Registration via Entra ID or MFA Platform ## Descrição Esta estratégia detecta o registro malicioso de dispositivos em plataformas de identidade em nuvem como Microsoft Entra ID (Azure AD), Okta e Duo, uma técnica utilizada por adversários para estabelecer persistência de longo prazo via MFA farming. Ao registrar um dispositivo controlado pelo atacante, o adversário obtém um fator de autenticação persistente que sobrevive a redefinições de senha, permitindo acesso continuado mesmo após o usuário alterar as credenciais. O vetor mais comum envolve engenharia social ou aproveitamento de uma sessão existente comprometida para acionar o fluxo de registro de novo dispositivo (Device Registration Flow) em Entra ID. Adversários também exploram falhas em configurações de MFA que permitem auto-registro sem aprovação administrativa. Em ataques de AiTM (Adversary-in-the-Middle) como EvilGinx, o token de sessão capturado pode ser usado para registrar um dispositivo adicional. A telemetria relevante inclui logs de auditoria de Entra ID (eventos `Add registered owner to device`, `Add device`, `Register user device`), logs do Microsoft Authenticator, e eventos Okta `device.enrollment.creaté`. Alertas devem ser acionados quando o registro ocorre de geolocalização diferente da última autenticação do usuário, de dispositivo nunca visto antes, ou imediatamente após um evento de login suspeito. ## Indicadores de Detecção - Evento Entra ID `Add device` realizado de IP/país diferente da localização habitual do usuário - Novo dispositivo MFA registrado menos de 1 hora após login de localização incomum ou IP suspeito - Registro de múltiplos dispositivos pelo mesmo usuário em janela de 24 horas - Evento Okta `device.enrollment.creaté` por usuário sem histórico de troca de dispositivos - Dispositivo registrado com nome genérico (ex: "iPhone", "Android") sem correspondência com inventário MDM - User agent incomum durante fluxo de Device Registration (ex: Python-requests, curl) - Registro de dispositivo seguido imediatamente de revogação de sessões existentes (indicador de takeover) - Token de Primary Refresh Token (PRT) emitido para dispositivo não-gerenciado pelo Intune/MDM ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0103-analytic-0103|AN0103 — Analytic 0103]] - [[an0104-analytic-0104|AN0104 — Analytic 0104]] --- *Fonte: [MITRE ATT&CK — DET0036](https://attack.mitre.org/detectionstrategies/DET0036)*