det0190-detect-mfa-modification-or-disabling-across-platforms

# DET0190 — Detect MFA Modification or Disabling Across Platforms ## Descrição Esta estratégia detecta modificação ou desativação de autenticação multifator — mapeada para [[T1556 — Modify Authentication Process]]. Adversários com acesso administrativo a provedores de identidade (Azure AD, Okta, AWS IAM) podem desativar MFA para contas específicas, adicionar métodos de autenticação alternativos ou criar exceções de política para facilitar acesso persistente sem alertas de autenticação. A detecção monitora eventos administrativos em provedores de identidade: desativação de MFA para usuários individuais, alteração de políticas de acesso condicional que exigem MFA, registro de novos dispositivos MFA (authenticators, telefones) sem a verificação do usuário legítimo, e criação de usuários de serviço com autenticação apenas por senha. Logs de auditoria do Azure AD, Okta System Log, AWS CloudTrail e Google Workspace Admin SDK são fontes primárias. Sete analytics cobrem plataformas e vetores distintos: desativação de MFA no Azure AD, alteração de política de acesso condicional, registro de novo método MFA, modificação de política Okta, bypass de MFA via trusted IPs, alteração de MFA em AWS IAM, e modificação de 2-Step Verification no Google Workspace. A correlação com login subsequente do usuário afetado de IP incomum confirma exploração. ## Indicadores de Detecção - `Set-MsolUser -StrongAuthenticationRequirements @()` desabilitando MFA de conta - Alteração em política de acesso condicional excluindo grupos ou usuários específicos de MFA - Registro de novo dispositivo MFA sem atividade prévia do usuário legítimo no mesmo dia - Criação de service principal sem MFA em tenant com política obrigatória de MFA - Adição de número de telefone desconhecido como método MFA secundário - Eventos AWS `DeleteVirtualMFADevice` ou `DeactivateMFADevice` fora de fluxo de helpdesk - Modificação de grupos de exclusão de MFA no Okta ou Azure AD ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] ## Analytics Relacionadas - [[an0543-analytic-0543|AN0543 — Analytic 0543]] - [[an0544-analytic-0544|AN0544 — Analytic 0544]] - [[an0545-analytic-0545|AN0545 — Analytic 0545]] - [[an0546-analytic-0546|AN0546 — Analytic 0546]] - [[an0547-analytic-0547|AN0547 — Analytic 0547]] - [[an0548-analytic-0548|AN0548 — Analytic 0548]] - [[an0549-analytic-0549|AN0549 — Analytic 0549]] --- *Fonte: [MITRE ATT&CK — DET0190](https://attack.mitre.org/detectionstrategies/DET0190)*