# AN1488 — Analytic 1488 ## Descrição Detecta atividade anômala de integração de aplicativos SaaS em ambientes como Slack, Salesforce ou outros serviços empresariais, com foco em adições de aplicativos não autorizados, concessões de permissão incomuns e persistência via tokens de service principal. A telemetria inclui logs de auditoria específicos de cada plataforma SaaS, alertas de instalação de novas integrações e monitoramento de concessões de escopo de permissão OAuth elevadas. Esta analítica é relevante porque integrações SaaS maliciosas podem servir como backdoors persistentes que permitem acesso a dados organizacionais mesmo após comprometimento inicial ser detectado e credenciais de usuário serem rotacionadas. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1488](https://attack.mitre.org/detectionstrategies/DET0539#AN1488)*