# AN0440 — Analytic 0440 ## Descrição Detecta atividade suspeita em tenants SaaS envolvendo configurações de webhook apontando para domínios externos ou não confiáveis, incluindo exportações automatizadas repetidas ou registros suspeitos de endpoints de webhook. A telemetria necessária inclui logs de auditoria do SaaS (Salesforce, HubSpot, GitHub, etc.) para rastrear criação e modificação de configurações de webhook, análise de destinos de webhook contra listas de domínios aprovados e alertas para exportações automatizadas de volume anômalo. Essa detecção é crítica em ambientes SaaS onde webhooks são frequentemente subutilizados em termos de monitoramento, permitindo que adversários os usem para criar canais de exfiltração persistentes e automatizados. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0440](https://attack.mitre.org/detectionstrategies/DET0153#AN0440)*