# AN0487 — Analytic 0487 ## Descrição Este analítico detecta cookies forjados em ambientes SaaS, manifestados como sessões web válidas sem correspondente atividade de login, bypass de MFA ou cookies reutilizados em múltiplos dispositivos ou endereços IP distintos. A telemetria inclui logs de acesso ao provedor de identidade (IdP), registros de sessão SaaS, alertas de replay de cookies e análise de sessões simultâneas a partir de geografias diferentes. Essa detecção é estratégica porque ataques de cookie hijacking em SaaS permitem acesso prolongado e silencioso a dados corporativos sensíveis sem acionar alertas de credencial. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0487](https://attack.mitre.org/detectionstrategies/DET0171#AN0487)*