# AN0366 — Analytic 0366 ## Descrição Detecta acesso suspeito a sistemas nativos de gerenciamento de segredos em nuvem (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, HashiCorp Vault), focando em recuperação anormal de segredos por identidades incomuns, regiões inesperadas, fora do horário comercial ou em alto volume, correlacionando chamadas de API com eventos de autenticação e assunção de papéis (role assumption). A telemetria inclui logs de auditoria de nuvem (CloudTrail, GCP Audit, Azure Monitor) para operações de acesso a segredos e eventos de autenticação IAM. Essa analítica é crítica porque acesso não autorizado a vaults de segredos em nuvem pode expor credenciais de banco de dados, chaves de API e certificados de toda a infraestrutura, sendo uma etapa central em ataques de comprometimento de ambiente cloud. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1087-account-discovery|T1087 — Account Discovery]] --- *Fonte: [MITRE ATT&CK — AN0366](https://attack.mitre.org/detectionstrategies/DET0130#AN0366)*