# AN0458 — Analytic 0458 ## Descrição Detecta cadeia de reconhecimento de política de senha em nuvem: chamadas de API que buscam política de senha do tenant/organização (como AWS `GetAccountPasswordPolicy` ou equivalentes GCP/OCI) seguidas, em curta janela, do mesmo principal criando usuários, rotacionando credenciais ou alterando configurações de autenticação. A telemetria necessária inclui AWS CloudTrail, Azure Activity Log ou GCP Cloud Audit Logs com alertas específicos para APIs de leitura de política de autenticação correlacionadas com operações de modificação de identidade subsequentes. Essa detecção é importante em ambientes IaaS porque a leitura da política de senha frequentemente precede a criação de contas backdoor com senhas que aténdam exatamente aos requisitos mínimos, maximizando a vida útil das credenciais implantadas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1136-003-create-account-cloud-account|T1136.003 — Cloud Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1110-brute-force|T1110 — Brute Force]] --- *Fonte: [MITRE ATT&CK — AN0458](https://attack.mitre.org/detectionstrategies/DET0161#AN0458)*