# AN1090 — Analytic 1090 ## Descrição Este analítico detecta o acesso a diretórios organizacionais via Google Workspace Directory API, Slack SCIM ou Okta SCIM por aplicações ou identidades fora dos roles normais. Utiliza telemetria de logs de auditoria de plataformas SaaS e análise de padrões de acesso à API para identificar consultas de diretório incomuns. A detecção é importante porque adversários com acesso a uma conta SaaS comprometida frequentemente exploram APIs de diretório para mapear toda a organização e identificar contas privilegiadas como alvos para comprometimento adicional. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] --- *Fonte: [MITRE ATT&CK — AN1090](https://attack.mitre.org/detectionstrategies/DET0386#AN1090)*