# AN0414 — Analytic 0414 ## Descrição Detecta adversários deletando infraestrutura crítica em nuvem — instâncias EC2, buckets S3, snapshots ou volumes — usando credenciais IAM elevadas, frequentemente com chamadas em lote de APIs `Delete*` ou `TerminateInstances`. A telemetria necessária inclui AWS CloudTrail, Azure Activity Log ou GCP Cloud Audit Logs para monitorar operações de deleção em massa, além de alertas de anomalia baseados em volume e frequência de chamadas de API destrutivas por identidade. Essa detecção é vital em ambientes IaaS porque ataques de destruição de infraestrutura em nuvem podem tornar toda a operação de uma organização indisponível em minutos se credenciais privilegiadas forem comprometidas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0414](https://attack.mitre.org/detectionstrategies/DET0146#AN0414)*