# AN1514 — Analytic 1514 ## Descrição Detecta chamadas de API anômalas de contas de usuário invocando endpoints de upload de arquivos fora das baselines normais em plataformas como M365, Google Drive e Box, monitorando logs de auditoria unificados para frequência elevada de operações de Upload, Create ou Copy de contas possívelmente comprometidas. A telemetria inclui logs de auditoria específicos de cada plataforma SaaS, análise de comportamento de usuário via UEBA e alertas de operações em volume incomum em janelas de tempo curtas. Esta analítica é relevante para detectar exfiltração de dados em larga escala via plataformas SaaS, técnica favorecida por ameaças internas e adversários externos por explorar canais confiáveis de transferência de arquivo que raramente são bloqueados por controles de segurança de rede. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1514](https://attack.mitre.org/detectionstrategies/DET0548#AN1514)*