# AN0215 — Analytic 0215 ## Descrição Detecta uso adversarial de APIs cloud para execução de comandos, controle de recursos ou reconhecimento, com foco em abuso de CLI/SDK/linguagem de scripting via credenciais roubadas ou Cloud Shells no navegador, monitorando chamadas de API anômalas encadeadas com mudanças de contexto de autenticação (ex.: token roubado → ação privilegiada) e impactos cross-service. A telemetria inclui logs de auditoria cloud (CloudTrail, Azure Monitor Activity Logs, GCP Audit Logs) com análise de sequências de API incomuns, alertas de IAM para chamadas de API de identidades novas ou raramente utilizadas e correlação de eventos de autenticação com ações privilegiadas subsequentes em janelas temporais curtas. Essa analítica é crítica em ambientes IaaS porque as APIs cloud são o plano de controle de toda a infraestrutura — acesso não autorizado via credenciais ou tokens roubados permite que adversários provisionem ou destruam recursos, acessem dados armazenados e movam lateralmente por toda a conta cloud. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0215](https://attack.mitre.org/detectionstrategies/DET0078#AN0215)*