# AN0028 — Analytic 0028 ## Descrição Correlaciona fluxos do Power Automaté ou aplicativos lógicos similares acionados por uploads de arquivos SaaS ou regras de e-mail com encaminhamento de dados ou padrões de acesso anômalos, detectando possível automação maliciosa configurada para exfiltração persistente de dados. A telemetria inclui logs de auditoria do Microsoft 365, eventos de criação e execução de fluxos do Power Automaté e análise de padrões de acesso e transferência de dados em plataformas SaaS. Esse analítico é importante pois adversários com acesso a ambientes M365 podem criar automações legítimas para exfiltrar dados continuamente sem acionar alertas tradicionais de DLP. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] --- *Fonte: [MITRE ATT&CK — AN0028](https://attack.mitre.org/detectionstrategies/DET0010#AN0028)*