# AN0979 — Analytic 0979 ## Descrição Este analítico detecta escaladas de privilégio repentinas em ambientes IaaS, como alterações de roles IAM, mudanças em limites de permissão atribuídas a usuários ou elevação via assumed roles além do comportamento normal estabelecido por baseline. A telemetria utilizada inclui CloudTrail (AWS), Activity Logs (Azure) e Audit Logs (GCP), monitorando eventos como `AssumeRole`, `PutRolePolicy`, `AttachUserPolicy` e `SetIamPolicy` correlacionados com o contexto de identidade e hora do evento. A detecção é fundamental para identificar técnicas de escalada de privilégio em cloud usadas por atacantes após comprometimento inicial de credenciais para obter acesso administrativo a recursos críticos da infraestrutura. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0979](https://attack.mitre.org/detectionstrategies/DET0345#AN0979)*