# AN0201 — Analytic 0201 ## Descrição Detecta acesso anômalo a aplicações web na nuvem utilizando tokens de sessão sem válidação correspondente de MFA ou credencial, frequentemente originado de localizações incomuns ou impressões digitais de dispositivo não reconhecidas, indicando roubo e reutilização de token de sessão. A telemetria inclui logs de acesso cloud (AWS CloudTrail, Azure Sign-In Logs, GCP Cloud Audit Logs) com análise de IP de origem, User-Agent e geolocalização, alertas de acesso condicional para sessões sem MFA válido e eventos de autenticação sem renovação de token correspondente. Essa analítica é crítica para detectar ataques de roubo de token na nuvem, onde adversários que obtêm tokens OAuth ou cookies de sessão válidos podem contornar completamente o MFA e acessar recursos cloud como se fossem o usuário legítimo, técnica central em campanhas como as do grupo UNC4736. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN0201](https://attack.mitre.org/detectionstrategies/DET0074#AN0201)*