# AN0339 — Analytic 0339 ## Descrição Detecta exclusão ou desativação em massa de contas em plataformas SaaS como Okta, Salesforce ou Zoom, com anomalias nos atributos da sessão do administrador ou ações em volume elevado em curto período. A telemetria inclui logs de auditoria das plataformas SaaS, eventos de modificação de identidade e métricas de velocidade de ações administrativas. Essa analítica é relevante porque adversários com acesso a contas administrativas de SaaS frequentemente excluem usuários em massa para paralisar operações ou como parte de ataques de extorsão e destruição de dados. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] --- *Fonte: [MITRE ATT&CK — AN0339](https://attack.mitre.org/detectionstrategies/DET0120#AN0339)*