# AN1425 — Analytic 1425 ## Descrição Detecta o registro incomum de aplicações OAuth seguido de concessão de tokens OAuth por usuários e acesso subsequente a recursos de alta sensibilidade por meio desses tokens, caracterizando um ataque de consentimento OAuth malicioso. A telemetria baseia-se em logs de auditoria do provedor de identidade (como Azure AD / Entra ID ou Okta) que registram criação de aplicações, eventos de consentimento de usuários e chamadas de API usando os tokens concedidos. Essa detecção é relevante para identificar campanhas de phishing de consentimento OAuth que criam aplicações maliciosas para obter acesso persistente a dados de usuários mesmo após redefinição de senhas ou revogação de sessões. **Plataformas:** Identity Provider ## Técnicas Relacionadas - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1098-003-additional-cloud-credentials|T1098.003 — Additional Cloud Credentials]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN1425](https://attack.mitre.org/detectionstrategies/DET0515#AN1425)*