# AN0695 — Analytic 0695 ## Descrição Detecta uso adversarial de APIs nativas de cloud — como AWS IAM, Azure RBAC e GCP Identity — para enumerar membros de grupos de cloud ou mapeamentos de política via sessões não autorizadas ou scripts automatizados. A telemetria inclui CloudTrail (`ListGroupsForUser`, `GetGroupPolicy`), Azure Activity Logs e GCP Admin Activity que identificam chamadas de enumeração de permissões por identidades fora do baseline de administração ou por ferramentas automatizadas de reconhecimento. Essa analítica é relevante pois a enumeração de permissões IAM é um passo fundamental de reconhecimento em ataques a cloud, permitindo ao adversário identificar caminhos de escalada de privilégio e recursos de alto valor sem gerar alertas de segurança tradicionais. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] --- *Fonte: [MITRE ATT&CK — AN0695](https://attack.mitre.org/detectionstrategies/DET0251#AN0695)*