# AN0020 — Analytic 0020 ## Descrição Detecta acesso remoto a SaaS de terceiros com tokens OAuth ou API após comprometimento inicial, seguido de acesso a dados sensíveis ou alterações de configuração que indicam movimentação lateral em ambientes de aplicações em nuvem. A telemetria inclui logs de auditoria de plataformas SaaS, eventos de uso de tokens OAuth e análise de anomalias de comportamento de usuário (UEBA) que correlacionam concessão de acesso com operações de dados incomuns. Esse analítico é crítico para organizações que utilizam ecossistemas SaaS extensos, onde tokens comprometidos podem proporcionar acesso a dados críticos sem alertar controles tradicionais de rede. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0020](https://attack.mitre.org/detectionstrategies/DET0008#AN0020)*