# AN1055 — Analytic 1055 ## Descrição Este analítico rastreia a criação ou atualização de scripts de automação SaaS (como Google Workspace Apps Script) e detecta quando esses scripts são vinculados a eventos de usuário, como abertura de arquivos ou modificações de conta. Utiliza telemetria de logs de auditoria do Google Workspace e correlaciona com chamadas de API anômalas subsequentes que exfiltram ou modificam dados do usuário. A detecção é relevante porque scripts de automação legítimos podem ser abusados para criar backdoors persistentes dentro de ambientes SaaS corporativos, exfiltrando dados sem acionar alertas de malware tradicionais. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1648-serverless-execution|T1648 — Serverless Execution]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1055](https://attack.mitre.org/detectionstrategies/DET0374#AN1055)*