# AN0708 — Analytic 0708 ## Descrição Monitora chamadas de API de cloud que exportam ou coletam logs de guest ou sistema, com uso anômalo de `CollectGuestLogs.exe` do Azure VM Agent ou `GetLogEvents` do AWS CloudWatch em múltiplas instâncias correlacionado com movimentação lateral ou preparação de dados. A telemetria inclui CloudTrail, Azure Activity Logs e GCP Audit Logs que registram operações de coleta de logs por identidades fora de padrões de acesso de SIEM ou auditoria aprovados. Essa analítica é importante para detectar adversários com acesso a credenciais de cloud que coletam logs de sistemas comprometidos para mapear atividades de resposta a incidentes em andamento, identificar se foram detectados e planejar o apagamento de evidências. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0708](https://attack.mitre.org/detectionstrategies/DET0255#AN0708)*