# AN0717 — Analytic 0717 ## Descrição Detecta forjamento de credenciais web em ambientes IaaS monitorando atividade de API anômala como `AssumeRole` ou `GetFederationToken` executados por principals incomuns, frequentemente correlacionados com sessões de logon súbitas de IPs ou regiões desconhecidos, seguindo o padrão: uso indevido de material secreto → request de API gerando novo token → acesso a recursos de alto valor. A telemetria inclui CloudTrail, Azure Activity Logs e GCP Audit Logs que registram operações de geração de token temporário por identidades fora de padrões de automação aprovados ou com atributos de sessão anômalos. Essa analítica é crítica para detectar ataques de token forjado em ambientes cloud, onde adversários com acesso a chaves privadas de papel IAM ou certificados de serviço podem gerar tokens de curta duração para acessar qualquer recurso sem deixar rastros de comprometimento de credencial de usuário. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0717](https://attack.mitre.org/detectionstrategies/DET0260#AN0717)*