# AN0534 — Analytic 0534 ## Descrição Este analítico detecta sign-ins suspeitos para Graph API ou recursos sensíveis usando agentes de scripting não-browser (como Python ou PowerShell), frequentemente para acesso programático a conteúdo de caixa de correio ou OneDrive no Office 365. A telemetria inclui logs de sign-in do Azure AD filtrando por user-agent de cliente, logs de auditoria do Microsoft 365 para acesso via Graph API, alertas de Conditional Access para clientes não gerenciados e eventos de UEBA para padrões de acesso a dados incomuns. Esse padrão é característico de campanhas de espionagem e BEC que exploram credenciais comprometidas combinadas com acesso programático para exfiltrar grandes volumes de emails e documentos. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1114-email-collection|T1114 — Email Collection]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0534](https://attack.mitre.org/detectionstrategies/DET0186#AN0534)*