# AN0198 — Analytic 0198 ## Descrição Detecta atividade de gravação remota entre VMs cloud ou buckets de armazenamento de objetos dentro da mesma região/conta que correlaciona com agregação de dados entre hosts, indicando staging de dados para exfiltração em ambientes IaaS. A telemetria inclui logs de auditoria cloud (AWS CloudTrail, Azure Monitor, GCP Audit Logs) registrando operações de cópia/escrita incomuns entre instâncias ou buckets, alertas de CSPM para transferências de dados intra-conta de alto volume e análise de padrões de acesso a APIs de armazenamento com credenciais incomuns. Essa analítica é crítica em ambientes cloud porque a movimentação de dados entre recursos na mesma conta frequentemente não é inspecionada por controles de segurança de perímetro, permitindo que adversários com acesso a credenciais cloud consolidem grandes volumes de dados sem alertar sistemas de DLP tradicionais. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0198](https://attack.mitre.org/detectionstrategies/DET0071#AN0198)*