# DET0539 — Detection Strategy for Cloud Application Integration ## Descrição A integração maliciosa de aplicações cloud ([[t1550-001-application-access-token|T1550.001 — Application Access Token]]) ocorre quando adversários registram ou comprometem integrações OAuth de terceiros em plataformas SaaS (Microsoft 365, Google Workspace, Salesforce, Slack) para obter acesso persistente aos dados do usuário sem necessidade de conhecer as credenciais. Aplicações OAuth maliciosas solicitam escopos de permissão amplos (leitura de e-mail, acesso a arquivos, envio de mensagens) que, uma vez aprovados pelo usuário ou administrador, persistem independentemente de mudanças de senha. Campanhas como as do [[g0016-apt29|APT29]] contra Microsoft 365 demonstraram o uso extensivo de aplicações OAuth para espionagem persistente. A detecção foca no monitoramento do ciclo de vida de integrações OAuth: criação de novas aplicações, concessão de permissões por usuários e especialmente por administradores, e o uso subsequente dos tokens gerados. Em Microsoft 365, os Unified Audit Logs registram eventos `Add app role assignment to service principal` e `Consent to application`. Em Google Workspace, os Admin Audit Logs registram `AUTHORIZE` e `token_grant` events. Aplicações legítimas tipicamente são registradas pelo time de TI e aprovadas via processo formal — qualquer consentimento de usuário individual para escopos sensíveis deve ser investigado. Indicadores de abuso incluem: aplicações com nomes que imitam produtos Microsoft/Google (typosquatting de apps), solicitação de escopos excessivos para a funcionalidade declarada, publisher não-verificado, e uso de tokens fora do horário normal ou de localizações geográficas inconsistentes com o usuário que concedeu o acesso. A revisão periódica de todas as integrações ativas com escopos elevados é um controle fundamental. ## Indicadores de Detecção - Consentimento de usuário para aplicação OAuth com escopo `mail.read`, `files.readwrite.all` ou equivalente por conta não-administrativa - Novo registro de Enterprise Application em Azure AD/Entra ID com permissões de aplicação (não delegadas) - Acesso via token OAuth a dados de e-mail ou arquivos fora do horário normal do usuário proprietário do token - Token de acesso utilizado de IP geolocalizado fora do padrão do usuário que concedeu o consentimento - Aplicação OAuth com publisher não-verificado solicitando escopos de permissão elevados - Event `Add service principal credentials` em Azure AD Audit Log para aplicação existente ## Técnicas Relacionadas - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] — técnica principal coberta por esta estratégia - [[t1098-account-manipulation|T1098 — Account Manipulation]] — manipulação de contas para persistência em SaaS - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] — roubo de tokens OAuth existentes - [[t1136-create-account|T1136 — Create Account]] — criação de service principals maliciosos - [[T1087-cloud-account|T1087.004 — Cloud Account]] — enumeração de aplicações e service principals ## Analytics Relacionadas - [[an1487-analytic-1487|AN1487 — Analytic 1487]] - [[an1488-analytic-1488|AN1488 — Analytic 1488]] --- *Fonte: [MITRE ATT&CK — DET0539](https://attack.mitre.org/detectionstrategies/DET0539)*