# AN0528 — Analytic 0528 ## Descrição Este analítico detecta tokens de acesso de aplicações usados para chamar APIs (como Google Workspace ou Salesforce) sem logins interativos, frequentemente com escopos incomuns ou permissões elevadas. A telemetria inclui logs de auditoria de aplicações SaaS (Google Workspace Admin Audit, Salesforce Event Monitoring), alertas de OAuth para uso de tokens com escopos sensíveis, logs de acesso a APIs sem sessão de usuário interativa e eventos de UEBA para padrões de uso de API anômalos. Tokens de aplicação com escopos excessivos representam um vetor crítico de acesso não autorizado a dados corporativos em ambientes SaaS. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN0528](https://attack.mitre.org/detectionstrategies/DET0185#AN0528)*