# AN0501 — Analytic 0501 ## Descrição Este analítico detecta anomalias de identidade e sessão pós-comprometimento via drive-by, incluindo reuso de tokens de IPs desconhecidos, padrões de login atípicos para usuários antes inativos, eventos inesperados de consentimento/grant ou mudanças de provisionamento. A telemetria inclui sinais combinados de endpoint/navegador (rede + eventos de processo) correlacionados com eventos de IdP como emissão de novos refresh tokens, eventos de consentimento OAuth, padrões incomuns de bypass de MFA e registros atípicos de clientes OAuth. Esse analítico é fundamental para detectar a fase pós-comprometimento de ataques de drive-by que visam roubar sessões de identidade em nuvem. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0501](https://attack.mitre.org/detectionstrategies/DET0176#AN0501)*