# AN0753 — Analytic 0753 ## Descrição Esta analítica detecta uso de bastion host na nuvem ou sessão de console de VM seguido de comandos que iniciam sessões SSH ou RDP de saída da instância cloud para outros ambientes. A telemetria inclui logs de sessão de bastion (AWS Session Manager, Azure Bastion logs), VPC Flow Logs e eventos de API do CloudTrail para atividade de console. A detecção é crítica em ambientes cloud porque adversários frequentemente usam instâncias comprometidas como pivot para atacar redes on-premise ou outros segmentos de cloud isolados. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN0753](https://attack.mitre.org/detectionstrategies/DET0269#AN0753)*