# AN1188 — Analytic 1188 ## Descrição Detecta criação, exclusão ou modificação de security groups e regras de firewall em logs de plano de controle de nuvem que expandem o acesso a recursos além de baselines esperados, com foco em regras de ingresso/egresso inesperadas permitindo 0.0.0.0/0 ou abrindo portas atípicas. A telemetria inclui logs de CloudTrail (AWS) ou Azure Activity Log para eventos de modificação de security groups (AuthorizeSecurityGroupIngress, CreateNetworkSecurityGroup) correlacionados com atividade de papel privilegiado ou chave de API. Essa detecção é crítica porque a abertura indevida de regras de firewall em nuvem pode expor instantaneamente toda a infraestrutura interna à internet, sendo uma das etapas mais impactantes em ataques de comprometimento de nuvem. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1188](https://attack.mitre.org/detectionstrategies/DET0424#AN1188)*