# AN0291 — Analytic 0291 ## Descrição Esta analítica detecta alterações não autorizadas em configurações de autenticação IAM, como desabilitação de MFA, criação de chaves de acesso backdoor ou modificação de políticas de confiança em nuvem, correlacionando atualizações de política de identidade com comportamento de login incomum. A telemetria inclui logs CloudTrail (AWS), Azure Activity Log ou GCP Cloud Audit Logs para eventos de modificação de IAM. A detecção é crítica pois a criação de credenciais backdoor em IAM é técnica primária de persistência em ambientes de nuvem, permitindo ao adversário manter acesso mesmo após a resposta a incidente ter revogado credenciais comprometidas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1098-004-ssh-authorized-keys|T1098.001 — Additional Cloud Credentials]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] --- *Fonte: [MITRE ATT&CK — AN0291](https://attack.mitre.org/detectionstrategies/DET0104#AN0291)*