# AN0526 — Analytic 0526 ## Descrição Este analítico detecta uso de APIs AWS STS ou GCP IAM para solicitar tokens temporários ou sessões de federação inconsistentes com a atividade normal da conta, incluindo solicitações de principais inesperados ou regiões não usuais. A telemetria inclui AWS CloudTrail (eventos `AssumeRole`, `GetSessionToken`, `AssumeRoleWithSAML`), GCP Cloud Audit Logs para operações IAM e alertas de Security Hub/GuardDuty para uso anômalo de credenciais temporárias. Tokens temporários obtidos de forma anômala permitem que adversários escalem privilégios ou acessem recursos cloud sem necessidade de credenciais permanentes armazenadas localmente. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0526](https://attack.mitre.org/detectionstrategies/DET0185#AN0526)*