# AN1187 — Analytic 1187 ## Descrição Detecta sequências suspeitas de criação de snapshot seguidas de criação e montagem de instâncias correlacionando criação de snapshots por usuários IAM inesperados ou recém-criados, snapshots de volumes sensíveis sem atividade de controle de mudanças prévia e snapshots imediatamente montados em instâncias não autorizadas. A telemetria inclui logs de CloudTrail (AWS) ou Azure Activity Log com foco em eventos de CreateSnapshot, DescribeSnapshots, RunInstances e AttachVolume, além de análise de comportamento de usuário e contexto de automação. O abuso de snapshots de nuvem é uma técnica eficaz para exfiltração de dados de volumes EBS/Azure Disk sem interação direta com instâncias em execução, sendo cada vez mais utilizado por adversários sofisticados em ataques a ambientes AWS. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN1187](https://attack.mitre.org/detectionstrategies/DET0423#AN1187)*