# AN0900 — Analytic 0900 ## Descrição Este analytic detecta adversários que utilizam API, CLI ou console de nuvem para criar usuários ou roles IAM, onde a criação inicial é seguida por anexação de políticas ou roles. A telemetria monitora cadeias temporais envolvendo `IAM:CreateUser`, `AttachUserPolicy` e geração de credenciais, especialmente a partir de automação ou faixas de IP estrangeiras. A criação não autorizada de entidades IAM é um vetor de persistência crítico em ambientes cloud, pois fornece ao adversário acesso independente mesmo após o comprometimento inicial ser remediado, representando um risco de impacto de longa duração. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136-003-cloud-account|T1136.003 — Cloud Account]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-001-additional-cloud-credentials|T1098.001 — Additional Cloud Credentials]] --- *Fonte: [MITRE ATT&CK — AN0900](https://attack.mitre.org/detectionstrategies/DET0319#AN0900)*