# AN1349 — Analytic 1349 ## Descrição Detecta a cadeia comportamental de abuso de aplicativo de terceiro via OAuth: (1) aplicativo de terceiro ou administrador conecta-se via OAuth ou instalação no marketplace; (2) escopos de alto privilégio são concedidos; (3) ações anômalas (leituras em massa, exportações ou alterações administrativas). A telemetria inclui logs de auditoria do SaaS para consentimentos OAuth, atividades de aplicativos conectados e operações de alto volume ou alto impacto realizadas via API de terceiro. Esta detecção é relevante para identificar aplicativos OAuth maliciosos instalados em plataformas SaaS corporativas que, após autorização por usuários ou administradores, utilizam os escopos concedidos para exfiltrar dados ou realizar alterações de configuração privilegiadas na plataforma. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] --- *Fonte: [MITRE ATT&CK — AN1349](https://attack.mitre.org/detectionstrategies/DET0488#AN1349)*