# AN0690 — Analytic 0690 ## Descrição Detecta criação de instâncias, serviços ou recursos de cloud em regiões normalmente não utilizadas ou sem suporte, especialmente após acesso inicial à conta ou uso de credenciais a partir de regiões conhecidas, correlacionando provisionamento de recursos com ausência de histórico de uso e alertas de serviços de logging padrão desabilitados naquela região. A telemetria inclui logs de CloudTrail/GCP Activity/Azure Monitor que registram eventos `RunInstances`, `CreateInstance` ou equivalentes em regiões fora do baseline organizacional, combinados com verificação de cobertura de GuardDuty/Security Center. Essa analítica é crítica para detectar adversários que utilizam regiões de cloud periféricas para minerar criptomoeda, lançar infraestrutura C2 ou conduzir operações evitando controles de segurança configurados apenas nas regiões principais. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0690](https://attack.mitre.org/detectionstrategies/DET0247#AN0690)*