# AN0801 — Analytic 0801 ## Descrição Esta analítica detecta eventos de API cloud onde serviços de logging são parados, deletados ou modificados de forma a desabilitar visibilidade de auditoria em IaaS, com o defensor identificando operações não autorizadas de StopLogging, DeleteTrail ou UpdateSink correlacionadas com atividade de usuário privilegiado. A telemetria inclui CloudTrail do AWS (operações cloudtrail:StopLogging, cloudtrail:DeleteTrail), Cloud Audit Logs do GCP (logging.sinks.delete) e Azure Monitor Logs para operações de exclusão ou desativação de workspace. A detecção é crítica porque desativar o logging em ambientes cloud é um indicador claro de atividade adversarial visando cobrir rastros antes ou durante um comprometimento amplo do ambiente cloud. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0801](https://attack.mitre.org/detectionstrategies/DET0289#AN0801)*