# AN0310 — Analytic 0310 ## Descrição Esta analítica monitora ferramentas de colaboração SaaS (Slack, Zoom, Jira) para mensagens ou arquivos contendo padrões semelhantes a credenciais, ou chamadas de API suspeitas que recuperam históricos de chat em massa por usuários não administradores, identificando cadeias comportamentais onde logs de chat são consultados via APIs ou bots de integração para extrair sistematicamente material sensível. A telemetria inclui logs de auditoria das plataformas SaaS (Slack Audit Logs, Jira Audit Records), alertas de CASB para extração de dados em massa e análise de tokens de API. A detecção é relevante pois bots maliciosos e integrações OAuth comprometidas em plataformas como Slack são vetores crescentes de exfiltração de credenciais e dados sensíveis em organizações. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN0310](https://attack.mitre.org/detectionstrategies/DET0111#AN0310)*