# AN1471 — Analytic 1471 ## Descrição Detecta alterações de configuração relacionadas a credenciais em aplicativos de produtividade, como criação de chaves de API no Google Workspace, geração de tokens de aplicativos no Slack ou criação de credenciais OAuth no nível de usuário no M365. A telemetria inclui logs de auditoria unificados do Google Workspace e Microsoft 365, alertas de criação de credenciais e monitoramento de concessões de permissões OAuth. Esta analítica é importante para detectar persistência em ambientes SaaS, onde adversários criam tokens de longa duração que permanecem válidos mesmo após mudanças de senha, garantindo acesso contínuo a dados corporativos. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN1471](https://attack.mitre.org/detectionstrategies/DET0531#AN1471)*