# AN1426 — Analytic 1426 ## Descrição Detecta o uso de tokens OAuth por aplicações de terceiros para acessar e-mail, calendário ou recursos do SharePoint do usuário, quando o token foi concedido recentemente ou obtido via spearphishing de consentimento. A telemetria baseia-se em logs de auditoria do Microsoft 365 (Unified Audit Log) que registram operações de acesso a caixa de correio e arquivos realizadas por aplicações OAuth, correlacionados com a data de concessão do token e localização de acesso. Essa detecção é crítica para ambientes Microsoft 365, onde ataques de consentimento OAuth permitem que adversários acessem permanentemente e-mails e documentos confidenciais sem controle de MFA. **Plataformas:** Office Suite ## Técnicas Relacionadas - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] - [[t1566-002-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1114-001-local-email-collection|T1114.001 — Local Email Collection]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] --- *Fonte: [MITRE ATT&CK — AN1426](https://attack.mitre.org/detectionstrategies/DET0515#AN1426)*