# AN1618 — Analytic 1618 ## Descrição Esta analítica detecta enumeração de contas em plataformas SaaS por meio de acesso em massa a funcionalidades de diretório de usuários ou uso de APIs não documentadas para extrair listas de usuários, comportamento observado quando adversários mapeiam alvos para ataques de phishing direcionado ou abuso de permissões. A telemetria inclui logs de auditoria da plataforma SaaS (Microsoft 365 Unified Audit Log, Salesforce Event Log) monitorando chamadas de API de listagem com volume anormal e acesso a endpoints de diretório por contas de serviço ou aplicações não esperadas. Esta detecção é relevante porque plataformas SaaS frequentemente expõem APIs de diretório com controles de acesso insuficientes. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1618](https://attack.mitre.org/detectionstrategies/DET0587#AN1618)*