# AN0795 — Analytic 0795 ## Descrição Esta analítica monitora plataformas de e-mail SaaS (Google Workspace, M365, apps integrados com Okta) para operações SendAs/SendOnBehalfOf onde as permissões delegadas são incomuns ou recentemente concedidas, detectando tentativas de impersonação onde adversários configuram regras para auto-encaminhar ou auto-responder com conteúdo impersonado. A telemetria inclui logs de auditoria do Google Workspace Admin, UAL do Microsoft 365 e logs de delegação do Okta para operações de permissão de envio. A detecção é crítica para identificar comprometimento de contas de e-mail SaaS corporativo, que é o vetor primário para ataques BEC com perdas financeiras que frequentemente ultrapassam milhões de dólares. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN0795](https://attack.mitre.org/detectionstrategies/DET0286#AN0795)*