# AN0001 — Analytic 0001 ## Descrição Detecta tentativas de acesso a endpoints de metadados de instâncias em nuvem (ex: 169.254.169.254) originadas de máquinas virtuais ou workloads em contêineres, incluindo tanto acessos diretos quanto padrões de exploração via SSRF. A telemetria utilizada abrange logs de fluxo de rede, eventos de auditoria de API da nuvem e dados de endpoint que correlacionam o processo iniciador com a conexão de saída. Esse analítico é crítico para detectar movimentação lateral e escalada de privilégios em ambientes IaaS, onde credenciais temporárias obtidas via IMDS podem ser reutilizadas para comprometimento mais amplo. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN0001](https://attack.mitre.org/detectionstrategies/DET0001#AN0001)*