# AN0771 — Analytic 0771 ## Descrição Esta analítica detecta em IaaS novos papéis IAM ou políticas associadas a usuário/serviço no AWS/GCP/Azure fora de padrões normais ou horários esperados, frequentemente após comprometimento de conta. A telemetria inclui CloudTrail (AWS: AttachUserPolicy, CreateRole), Cloud Audit Logs (GCP: iam.setIamPolicy) e Azure Activity Logs para operações de atribuição de função. A detecção é crítica em ambientes cloud porque escalada de privilégios via manipulação de IAM é o caminho mais comum para comprometimento total de ambiente cloud após acesso inicial. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1484-domain-or-tenant-policy-modification|T1484 — Domain Policy Modification]] --- *Fonte: [MITRE ATT&CK — AN0771](https://attack.mitre.org/detectionstrategies/DET0277#AN0771)*