# AN1053 — Analytic 1053 ## Descrição Este analítico correlaciona a criação ou modificação de funções serverless (AWS Lambda, GCP Cloud Functions, Azure Functions) com atribuições anômalas de roles IAM ou eventos de escalonamento de permissões. Utiliza telemetria de CloudTrail (AWS), Cloud Audit Logs (GCP) e Activity Logs (Azure) para detectar execuções subsequentes de funções recém-criadas que realizam ações inesperadas, como conexões de saída, acesso a recursos sensíveis ou criação de credenciais adicionais. Esta detecção é essencial para identificar abuso de funções serverless como mecanismo de persistência e movimentação lateral em ambientes cloud. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1648-serverless-execution|T1648 — Serverless Execution]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1053](https://attack.mitre.org/detectionstrategies/DET0374#AN1053)*