# AN1520 — Analytic 1520 ## Descrição Detecta acesso em alto volume anômalo a registros de clientes em software CRM por conta de usuário não-administrador de CRM, especialmente após autenticação inicial de localização ou dispositivo incomum, incluindo acesso anômalo a campos de PII ou exportações de dados em janela de tempo curta. A telemetria inclui logs de auditoria da plataforma CRM (Salesforce, HubSpot), análise comportamental de usuário e alertas de acesso em volume anormal a registros de dados sensíveis. Esta analítica é importante para detectar exfiltração de dados de clientes em plataformas CRM, frequentemente alvo de grupos de ameaça que visam obter listas de clientes para campanhas de phishing direcionado ou venda de dados no mercado underground. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] --- *Fonte: [MITRE ATT&CK — AN1520](https://attack.mitre.org/detectionstrategies/DET0550#AN1520)*