# AN1487 — Analytic 1487 ## Descrição Detecta integrações suspeitas de aplicativos OAuth dentro de ambientes Office 365 ou Google Workspace, como novos registros de aplicativos, concessões de consentimento inesperadas ou atribuições de privilégios. A telemetria inclui logs de auditoria unificados do M365 e Google Workspace, alertas de consentimento OAuth e correlação entre eventos de criação/modificação de aplicativos e atividade associada de usuários ou service principals. Esta analítica é crítica para detectar persistência via aplicativos OAuth maliciosos — técnica documentada em ataques como o SolarWinds onde adversários registraram aplicativos com permissões elevadas para manter acesso de longo prazo a ambientes de e-mail e colaboração. **Plataformas:** Office Suite --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] --- *Fonte: [MITRE ATT&CK — AN1487](https://attack.mitre.org/detectionstrategies/DET0539#AN1487)*