det0550-detecting-suspicious-access-to-crm-data-in-saas-environments

# DET0550 — Detecting Suspicious Access to CRM Data in SaaS Environments ## Descrição O acesso não autorizado a dados de CRM (Customer Relationship Management) em ambientes SaaS como Salesforce, HubSpot ou Microsoft Dynamics 365 representa uma ameaça significativa de coleta de dados ([[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]]). Adversários que comprometem credenciais de acesso a plataformas SaaS podem extrair bases de clientes inteiras, informações financeiras, históricos de negociação e dados de contato corporativo — informações de alto valor para espionagem industrial, engenharia social direcionada e fraudes financeiras. A detecção envolve o monitoramento de padrões anômalos de acesso via APIs de auditoria nativas das plataformas SaaS. Indicadores-chave incluem: exportações em massa de registros (bulk data export), acesso a relatórios contendo dados sensíveis fora do horário comercial, consultas a APIs com filtros amplos que retornam volumes atípicos de registros, e acesso a campos PII (Personally Identifiable Information) por usuários sem necessidade operacional. A correlação entre logs de autenticação (login de IP ou geolocalização incomum) com operações subsequentes de exportação de dados é particularmente eficaz. No contexto LATAM, essa estratégia é crítica para organizações dos setores financeiro e de telecomúnicações no Brasil, onde a LGPD (Lei Geral de Proteção de Dados) impõe obrigações rigorosas sobre dados de clientes. Grupos de ameaça focados em fraude financeira na região frequentemente visam plataformas CRM para obter listas de clientes de alto valor. A integração dos logs de auditoria SaaS com o SIEM corporativo e a configuração de alertas baseados em volume e horário de acesso são controles fundamentais. ## Indicadores de Detecção - Exportação em massa (bulk export) de mais de 1.000 registros de CRM em uma única sessão por usuário não autorizado para operações de marketing ou vendas - Acesso a relatórios contendo dados PII (CPF, telefone, email, endereço) fora do horário comercial ou de geolocalização atípica - Consultas via API REST do CRM com filtros amplos (`SELECT * FROM Contact`) retornando volumes superiores ao baseline do usuário - Login em plataforma SaaS seguido de acesso imediato a funções de exportação sem navegação típica do workflow do usuário - Criação de novos relatórios customizados contendo campos sensíveis por usuário que normalmente não cria relatórios - Acesso simultâneo à mesma conta CRM de múltiplas geolocalizações ou IPs distintos em janela curta de tempo ## Técnicas Relacionadas - [[t1213-data-from-information-repositories|T1213 — Data from Information Repositories]] — técnica principal de coleta de dados em repositórios SaaS - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — coleta de dados armazenados em serviços cloud - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de credenciais válidas para acesso inicial ao SaaS - [[t1114-email-collection|T1114 — Email Collection]] — técnica complementar de coleta em ambientes corporativos - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] — exfiltração dos dados coletados via serviços web ## Analytics Relacionadas - [[an1520-analytic-1520|AN1520 — Analytic 1520]] --- *Fonte: [MITRE ATT&CK — DET0550](https://attack.mitre.org/detectionstrategies/DET0550)*