# AN0442 — Analytic 0442 ## Descrição Detecta modificações não autorizadas ou incomuns em hierarquias de recursos de nuvem como AWS Organizations ou Azure Management Groups, monitorando chamadas anômalas a APIs como `LeaveOrganization`, `CreateAccount`, `MoveAccount` ou transferências de assinatura Azure, correlacionando atividade de conta com atribuições de papel administrativo e transferências de tenant que desviam das baselines organizacionais dentro de janelas de tempo curtas. A telemetria necessária inclui AWS CloudTrail com foco em eventos de Organizations, Azure Activity Log para operações de Management Groups e correlação de elevação de papel com modificações estruturais subsequentes. Essa detecção é crítica porque adversários com credenciais de conta master podem remodelar toda a hierarquia de nuvem para manter acesso persistente ou isolar recursos comprometidos da supervisão organizacional. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1136-003-create-account-cloud-account|T1136.003 — Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN0442](https://attack.mitre.org/detectionstrategies/DET0155#AN0442)*