# AN1156 — Analytic 1156 ## Descrição Detecta acesso incomum via web ou scraping de API a gerenciadores de senhas, sessões de single sign-on ou serviços de sincronização de credenciais por automação de navegador ou tokens de API anômalos. A telemetria inclui logs de auditoria de plataformas SaaS, registros de acesso à API de gerenciadores de senha e alertas de comportamento anômalo de tokens para identificar acesso não autorizado a repositórios de credenciais em nuvem. Essa detecção é importante porque comprometer um gerenciador de senhas SaaS pode dar ao adversário acesso imediato a centenas de credenciais corporativas armazenadas centralmente. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN1156](https://attack.mitre.org/detectionstrategies/DET0412#AN1156)*