# AN0117 — Analytic 0117 ## Descrição Detecta adversários com acesso de escrita a armazenamento em nuvem que modificam políticas de ciclo de vida (por exemplo, via PutBucketLifecycle na AWS) para agendar exclusão rápida de objetos em um ou mais buckets. A telemetria inclui logs do AWS CloudTrail para eventos PutBucketLifecycle e DeleteBucketLifecycle, políticas do AWS Config para monitorar desvios de conformidade, e alertas de GuardDuty para atividade anômala de IAM associada. Este analítico é crítico porque a modificação de políticas de ciclo de vida pode ser usada para causar destruição de dados (impacto), remover logs (evasão) ou forçar extorsão em ataques de ransomware direcionados a infraestrutura de armazenamento em nuvem. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN0117](https://attack.mitre.org/detectionstrategies/DET0041#AN0117)*