# AN1329 — Analytic 1329 ## Descrição Detecta a concessão de token OAuth a um aplicativo externo seguida de download em alto volume de arquivos no OneDrive ou Google Drive. A telemetria inclui logs de auditoria do Microsoft 365 ou Google Workspace para consentimentos OAuth, atividades de aplicativo de terceiros e eventos de download massivo de arquivos correlacionados temporalmente com a autorização do aplicativo. Esta detecção é relevante para identificar abusos de OAuth em plataformas SaaS onde adversários registram aplicativos maliciosos que solicitam escopos de acesso a arquivos, sendo autorizados por usuários enganados, e então utilizam o token concedido para exfiltrar dados corporativos em larga escala. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1550-003-pass-the-cookie|T1550.003 — Pass the Cookie]] - [[t1552-007-container-api|T1552 — Unsecured Credentials]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1329](https://attack.mitre.org/detectionstrategies/DET0484#AN1329)*