# AN0017 — Analytic 0017 ## Descrição Detecta logins em ambientes de nuvem originados de geolocalização atípica ou user-agent string incomum, seguidos de enumeração de recursos ou manipulação de infraestrutura via CLI/API de nuvem, indicando possível acesso com credenciais comprometidas. A telemetria é baseada em logs de auditoria de provedores de nuvem (CloudTrail, Azure Monitor, GCP Audit Logs), análise de anomalias de login e correlação com ações subsequentes de provisionamento ou modificação de infraestrutura. Esse analítico é crítico para ambientes IaaS pois credenciais cloud comprometidas permitem acesso imediato a escala massiva de recursos e dados. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0017](https://attack.mitre.org/detectionstrategies/DET0008#AN0017)*