# AN1637 — Analytic 1637 ## Descrição Esta analítica detecta abuso de vulnerabilidades em plataformas SaaS para contornar logging, monitoramento ou limites de consentimento OAuth, com foco em eventos de integração anormal de aplicações, ausência de logs de auditoria esperados ou chamadas de API por service principals não autorizados alinhadas a tentativas de exploração. A telemetria inclui logs de auditoria unificados de plataformas SaaS (Microsoft 365 Unified Audit Log, Salesforce Event Monitoring) alertando para autorizações OAuth suspeitas, consentimentos de aplicações fora do processo de aprovação e chamadas de API de service principals recém-criados a recursos sensíveis. Esta detecção importa porque ataques a plataformas SaaS via aplicações OAuth maliciosas é um vetor crescente, especialmente em ambientes Microsoft 365. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1114-email-collection|T1114 — Email Collection]] --- *Fonte: [MITRE ATT&CK — AN1637](https://attack.mitre.org/detectionstrategies/DET0595#AN1637)*