# AN0027 — Analytic 0027 ## Descrição Monitora a criação de funções em nuvem acionadas por eventos específicos de log de auditoria (ex: mudanças de IAM, criação de objetos), seguida de comportamento anômalo de novas contas de serviço, indicando possível uso de serverless para persistência ou execução automatizada pós-comprometimento. A telemetria provém de logs de auditoria de provedores de nuvem (CloudTrail, GCP Audit Logs), eventos de criação de funções Lambda/Cloud Functions e análise de comportamento de contas de serviço. Esse analítico é relevante para detectar técnicas de persistência serverless utilizadas por adversários em ambientes IaaS, onde funções podem ser criadas para manter acesso ou executar ações maliciosas automaticamente. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0027](https://attack.mitre.org/detectionstrategies/DET0010#AN0027)*