# AN0234 — Analytic 0234 ## Descrição Detecta exclusões suspeitas de instâncias cloud correlacionando eventos de autenticação, ciclo de vida de instância e atividade de conta, com comportamentos de interesse incluindo instâncias excluídas logo após criação, exclusões iniciadas por contas novas ou raramente usadas, exclusões seguidas de criação de snapshot e exclusões de geolocalizações anômalas ou chaves de acesso incomuns, que podem indicar tentativas adversariais de destruir evidências forenses ou evadir detecção. A telemetria inclui logs de auditoria cloud (CloudTrail, Azure Activity Logs, GCP Audit Logs) com análise de operações de ciclo de vida de instância, alertas de IAM para ações de exclusão por identidades de baixo uso e correlação com eventos de snapshot ou backup imediatamente precedentes à exclusão. Essa analítica detecta destruição de evidências em ambientes cloud onde adversários, após completar seus objetivos, excluem instâncias para eliminar logs e artefatos forenses que poderiam ser usados para investigar o incidente. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0234](https://attack.mitre.org/detectionstrategies/DET0084#AN0234)*