# AN1505 — Analytic 1505 ## Descrição Detecta acesso inesperado ou uso anômalo de ferramentas de produtividade em nuvem por usuários internos, como download de grande número de arquivos ou criação de compartilhamentos externos em massa. A telemetria inclui logs de auditoria unificados do M365, Google Workspace e Box, com alertas de volume anômalo de operações de download/compartilhamento e análise de comportamento de usuário baseada em baseline. Esta analítica é importante para detectar exfiltração de dados via serviços SaaS legítimos — técnica cada vez mais utilizada por adversários e insiders maliciosos que exploram a confiança que ferramentas de produtividade normalmente recebem de soluções de DLP tradicionais. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] --- *Fonte: [MITRE ATT&CK — AN1505](https://attack.mitre.org/detectionstrategies/DET0546#AN1505)*