# AN0902 — Analytic 0902 ## Descrição Este analytic detecta o uso de APIs do Microsoft 365 ou Google Workspace para criar usuários, contas de serviço ou contas de convidado, seguido de atividade de login, escalada de função ou geração de token de service principal. A telemetria inclui logs de auditoria do M365 (Unified Audit Log), registros do Azure AD e eventos de provisionamento do Google Admin SDK. Em suítes de colaboração corporativa, a criação de contas por adversários frequentemente passa despercebida por semanas, pois se confunde com provisionamento legítimo de colaboradores, tornando a análise de contexto (origem, horário, encadeamento de ações) essencial para a detecção eficaz. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136-003-cloud-account|T1136.003 — Cloud Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0902](https://attack.mitre.org/detectionstrategies/DET0319#AN0902)*