# AN0891 — Analytic 0891 ## Descrição Este analytic monitora ações no plano de controle de nuvem que desabilitam serviços de segurança, como a desativação do CloudTrail, GuardDuty ou Security Hub na AWS, detectando o abuso de roles IAM correlacionado com eventos de desabilitação de serviços. A telemetria inclui logs do CloudTrail (eventos `StopLogging`, `DeleteDetector`, `DisableSecurityHub`), alertas do GuardDuty e logs de alteração de políticas IAM. A desativação de serviços de segurança cloud é uma tática pré-operacional frequente em ataques sofisticados, pois cria janelas de cegueira que permitem ao adversário executar ações sem gerar alertas ou trilhas de auditoria. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1562-008-disable-cloud-logs|T1562.008 — Disable Cloud Logs]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0891](https://attack.mitre.org/detectionstrategies/DET0317#AN0891)*