# AN0122 — Analytic 0122 ## Descrição Detecta consultas aos serviços de metadados de instância (AWS IMDS em 169.254.169.254, Azure Instance Metadata Service, GCP Metadata Server) para obter zona de disponibilidade, região ou detalhes de geolocalização de rede. A telemetria inclui logs de VPC Flow ou equivalentes para identificar conexões ao endpoint de metadados, CloudTrail para correlacionar com a identidade da instância, e análise comportamental para identificar consultas de contas não-gerenciais ou workloads não padrão. Este analítico detecta adversários realizando reconhecimento de ambiente de nuvem para mapear a infraestrutura da vítima e planejar movimentação lateral ou exfiltração otimizada. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0122](https://attack.mitre.org/detectionstrategies/DET0043#AN0122)*