# AN0901 — Analytic 0901 ## Descrição Este analytic detecta adversários criando contas SaaS via dashboards administrativos ou integrações em plataformas como Zoom, Salesforce ou Slack, monitorando eventos de provisionamento (`lifecycle.creaté`) originados de fontes não padronizadas ou em horários incomuns. A telemetria inclui logs de auditoria das plataformas SaaS, registros de atividade do administrador e correlação com endereços IP ou user-agents anômalos. Contas SaaS criadas por adversários são utilizadas como backdoors persistentes que permanecem ativas independentemente de alterações em sistemas de identidade corporativos, tornando sua detecção precoce fundamental para limitar o impacto de um comprometimento. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136-003-cloud-account|T1136.003 — Cloud Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0901](https://attack.mitre.org/detectionstrategies/DET0319#AN0901)*