# AN1565 — Analytic 1565 ## Descrição Este analítico detecta acesso atípico a conversas do Slack ou Teams via APIs, tokens de automação ou funcionalidade de exportação em massa de mensagens, especialmente após padrão de account takeover ou login incomum, incluindo recuperação em massa de histórico de chat, download de conteúdo de mensagens ou scraping de metadados de workspace e canais. A telemetria provém de logs de auditoria das plataformas SaaS (Slack Audit Logs, Microsoft 365 Audit Log via Microsoft Purview) que registram todas as operações de API com contexto de usuário, IP de origem, e volume de dados acessados. A relevância é alta pois plataformas de colaboração corporativa contêm informações sensíveis como credenciais, dados de clientes e discussões estratégicas, tornando-as alvos primários para coleta de dados após comprometimento de conta. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] - [[t1213-003-code-repositories|T1213.003 — Code Repositories]] - [[t1078-004-cloud-accounts|T1078.003 — Valid Accounts: Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1565](https://attack.mitre.org/detectionstrategies/DET0567#AN1565)*