# AN1201 — Analytic 1201 ## Descrição Detecta tentativas de acesso ou enumeração de serviços de armazenamento de segredos em nuvem como AWS Secrets Manager, Azure Key Vault ou GCP Secret Manager, monitorando chamadas de API para enumeração anômala ou recuperação em massa de segredos. A telemetria inclui logs de CloudTrail (AWS: GetSecretValue, ListSecrets), Azure Activity Log (GetSecret, ListSecrets no Key Vault) e GCP Audit Log para identificar acesso volumoso ou por identidades não autorizadas a repositórios de segredos. Esse analítico é de alta prioridade porque segredos de nuvem frequentemente contêm credenciais de banco de dados, chaves de API de terceiros e certificados que, se comprometidos, podem proporcionar ao adversário acesso a toda a cadeia de serviços da organização. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1201](https://attack.mitre.org/detectionstrategies/DET0430#AN1201)*