# AN0594 — Analytic 0594 ## Descrição Este analítico detecta logon direto em máquinas virtuais hospedadas na nuvem via métodos de acesso nativos da nuvem (como EC2 Instance Connect, Azure Serial Console, AWS SSM Session Manager), seguido de execução de comandos ou escalada de privilégios na VM. A telemetria inclui logs de auditoria de nuvem (AWS CloudTrail, Azure Activity Log, GCP Audit Logs) com eventos de abertura de sessão via APIs de acesso a instâncias e correlação com atividade de execução de comandos subsequente dentro da VM. Essa detecção é importante pois métodos de acesso nativos de nuvem contornam controles de rede tradicionais como VPNs e bastion hosts, podendo ser usados por adversários com credenciais IAM comprometidas para acessar instâncias sem deixar rastros em logs de rede convencionais. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0594](https://attack.mitre.org/detectionstrategies/DET0211#AN0594)*