# AN0861 — Analytic 0861 ## Descrição Esta analítica detecta alterações não autorizadas ou anômalas em componentes de infraestrutura de computação, como criação, exclusão ou modificação de instâncias, volumes e snapshots fora de janelas de mudança aprovadas. A telemetria utilizada inclui CloudTrail e Azure Activity Log para monitorar operações de infraestrutura, com foco em criação rápida de snapshots seguida de montagem em novas instâncias, ou mudanças repetidas por contas raramente usadas com geolocalização, cliente de API ou script de automação incomuns. Esta detecção é importante para identificar adversários que comprometeram credenciais cloud e estão clonando infraestrutura para exfiltração de dados ou criando instâncias para mineração de criptomoeda. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1578-001-create-snapshot|T1578.001 — Create Snapshot]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] --- *Fonte: [MITRE ATT&CK — AN0861](https://attack.mitre.org/detectionstrategies/DET0308#AN0861)*