# AN0959 — Analytic 0959 ## Descrição Detecta reutilização de tokens de acesso para conexão com APIs do SharePoint ou Outlook sem contexto de usuário interativo. A telemetria inclui logs de auditoria do Microsoft 365, eventos de acesso a APIs do Graph e anomalias em padrões de acesso como volumes incomuns de operações de leitura ou download sem sessão de browser ativa. Essa analítica é relevante para detectar campanhas de espionagem que exfiltram emails e documentos corporativos usando tokens OAuth comprometidos. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] --- *Fonte: [MITRE ATT&CK — AN0959](https://attack.mitre.org/detectionstrategies/DET0338#AN0959)*