# AN1088 — Analytic 1088 ## Descrição Este analítico detecta o uso de AWS CLI (`aws iam list-users`, `list-roles`), Azure CLI (`az ad user list`) ou GCP CLI (`gcloud iam service-accounts list`) a partir de endpoints ou cloud shells onde tal atividade não é esperada. Utiliza telemetria de CloudTrail (AWS), Cloud Audit Logs (GCP) e Activity Logs (Azure) correlacionada com contexto de origem incomum para identificar reconhecimento de IAM não autorizado. A detecção é importante porque a enumeração de usuários e roles de IAM é frequentemente a primeira etapa de adversários em ambientes cloud após obter acesso inicial, para identificar caminhos de escalonamento de privilégios. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1088](https://attack.mitre.org/detectionstrategies/DET0386#AN1088)*