# AN0697 — Analytic 0697 ## Descrição Monitora chamadas de API e logs específicos de serviço SaaS em busca de enumeração de funções organizacionais, permissões e estrutura de grupos, particularmente fora das linhas de base de comportamento administrativo normal. A telemetria inclui logs de auditoria das plataformas SaaS (Salesforce Event Monitoring, Workday Audit, ServiceNow Security), logs de API e alertas de CASB que identificam usuários ou aplicações que consultam estruturas de permissão em volume ou horário anômalo. Essa analítica é relevante pois plataformas SaaS corporativas contêm dados de alto valor e suas estruturas de permissão são frequentemente mal configuradas; a enumeração permite ao adversário identificar usuários com acesso privilegiado para alvos subsequentes de comprometimento. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] --- *Fonte: [MITRE ATT&CK — AN0697](https://attack.mitre.org/detectionstrategies/DET0251#AN0697)*