# AN1406 — Analytic 1406 ## Descrição Detecta o uso de cookies de sessão ou tokens de autenticação provenientes de user agents ou localizações geográficas incomuns, além de reuso de tokens sem reautenticação ou tentativas de contornar MFA utilizando cookies previamente roubados. A telemetria baseia-se em logs de acesso de plataformas SaaS, eventos de autenticação e análise de comportamento de usuário (UEBA) que identificam anomalias em sessões ativas. Essa detecção é crítica para ambientes corporativos que dependem de serviços SaaS, onde o roubo de cookies pode conceder acesso persistente mesmo após redefinição de senha. **Plataformas:** SaaS ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] --- *Fonte: [MITRE ATT&CK — AN1406](https://attack.mitre.org/detectionstrategies/DET0509#AN1406)*