# AN1127 — Analytic 1127 ## Descrição Detecta enumeração incomum de serviços e recursos por meio de APIs de nuvem, como comandos `describe-*` da AWS CLI, consultas ao Azure Resource Manager ou listagens de projetos do GCP. A telemetria utilizada inclui logs de API do plano de controle (CloudTrail, Azure Activity Log, GCP Audit Log) com foco em volume anômalo de chamadas de descoberta e correlação com sessões recentemente comprometidas. Esse analítico é relevante porque a fase de descoberta em nuvem frequentemente precede movimentação lateral e escalonamento de privilégios, sendo um indicador precoce de comprometimento de identidade. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1526-cloud-service-discovery|T1526 — Cloud Service Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1538-cloud-service-dashboard|T1538 — Cloud Service Dashboard]] --- *Fonte: [MITRE ATT&CK — AN1127](https://attack.mitre.org/detectionstrategies/DET0402#AN1127)*