# AN0417 — Analytic 0417 ## Descrição Detecta adversários que obtêm acesso a serviços SaaS como AWS SES, SNS ou APIs de LLM, habilitam ou modificam políticas de uso e iniciam ações de alto consumo de recursos (como envio em massa de e-mail/SMS ou consultas intensivas a modelos de IA), frequentemente originadas de regiões não autorizadas ou sob condições anômalas de identidade. A telemetria necessária inclui logs de auditoria de SaaS (AWS CloudTrail, logs de auditoria de API), monitoramento de cotas de uso por serviço e alertas de anomalia baseados em região de origem e volume de chamadas de API. Essa detecção é importante porque o sequestro de recursos de SaaS gera custos financeiros imediatos e pode ser utilizado para spam ou ataques secundários contra outras organizações. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-009-command-and-scripting-interpreter-cloud-api|T1059.009 — Cloud API]] --- *Fonte: [MITRE ATT&CK — AN0417](https://attack.mitre.org/detectionstrategies/DET0147#AN0417)*