# AN0626 — Analytic 0626 ## Descrição Este analítico detecta implantação ou gerenciamento de software nativo de nuvem (como SSM Run Command da AWS ou Intune) iniciando execução de scripts em endpoints fora de IDs de organização esperados, grupos de administradores autorizados ou janelas de manutenção, indicando possível comprometimento da plataforma de gerenciamento SaaS. A telemetria inclui logs de auditoria da plataforma SaaS (AWS CloudTrail para SSM, logs de auditoria do Microsoft Intune) com eventos de execução de script, alertas de políticas de acesso condicional e correlação com mudanças recentes em permissões de administrador da plataforma. Essa detecção é importante pois plataformas SaaS de gerenciamento de dispositivos são alvos de alto valor para adversários que buscam comprometimento em escala, onde uma única credencial de administrador comprometida pode resultar na execução de payloads maliciosos em milhares de endpoints gerenciados. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0626](https://attack.mitre.org/detectionstrategies/DET0223#AN0626)*