# AN0529 — Analytic 0529 ## Descrição Este analítico detecta uso de tokens OAuth para acesso à API do Exchange Online ou SharePoint sem login precedente ou a partir de clientes não autorizados. A telemetria inclui logs de auditoria do Microsoft 365 (UnifiedAuditLog), eventos de autenticação do Azure AD sem MFA ou login interativo, alertas de Conditional Access para acesso de clientes não gerenciados e logs de Microsoft Graph API para acesso programático a caixas de email ou documentos. Esse padrão é característico de campanhas de BEC (Business Email Compromise) e espionagem que exploram tokens OAuth roubados para acesso silencioso a conteúdo corporativo sensível. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0529](https://attack.mitre.org/detectionstrategies/DET0185#AN0529)*