# AN0203 — Analytic 0203 ## Descrição Detecta tokens de sessão web reutilizados em aplicações Office nativas (ex.: Outlook, Teams) sem comportamento de renovação de token ou login correspondente no endpoint, indicando que um token OAuth roubado está sendo usado para acessar serviços Microsoft sem autenticação legítima. A telemetria inclui logs de autenticação Azure AD correlacionando acesso a aplicações Office com eventos de login no endpoint via Microsoft Defender for Endpoint ou Sysmon, análise de refresh tokens para identificar renovações sem correspondência de login e alertas para acesso de Graph API com tokens emitidos para clientes diferentes. Essa analítica é especialmente relevante para detectar ataques de comprometimento de e-mail corporativo (BEC) e campanhas de espionagem que utilizam tokens OAuth roubados para acesso persistente ao Microsoft 365 sem precisar de senhas ou MFA. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0203](https://attack.mitre.org/detectionstrategies/DET0074#AN0203)*