# AN0527 — Analytic 0527 ## Descrição Este analítico detecta tokens de acesso OAuth ou SAML reutilizados em múltiplas sessões ou clientes sem correspondente atividade de MFA ou login. A telemetria inclui logs de sign-in do Azure AD/Okta com correlação de tokens JWT, eventos de uso de refresh token sem autenticação interativa, alertas de UEBA para padrões de token anômalos e logs de auditoria de aplicações OAuth. O replay de tokens de acesso é uma técnica de alto impacto que permite a adversários manter acesso persistente a recursos cloud mesmo após rotação de senha, sem necessidade de novas credenciais. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0527](https://attack.mitre.org/detectionstrategies/DET0185#AN0527)*