# AN1242 — Analytic 1242 ## Descrição Detecta criação anômala ou não autorizada de instâncias de nuvem em ambientes IaaS, com foco em comportamentos suspeitos como criação por contas raramente usadas ou recém-criadas, eventos de criação a partir de geolocalizações incomuns e sequências rápidas de snapshot seguidas de criação e montagem de instâncias. A telemetria inclui logs de API de provedores de nuvem (CloudTrail, Azure Activity, GCP Audit), eventos de gerenciamento de IAM e alertas de alterações de políticas de rede. Essa análise é crítica para detectar uso adversarial de infraestrutura de nuvem para persistência, mineração de criptomoeda ou movimentação lateral. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1578.002-create-cloud-instance|T1578.002 — Create Cloud Instance]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136.003-cloud-account|T1136.003 — Cloud Account]] --- *Fonte: [MITRE ATT&CK — AN1242](https://attack.mitre.org/detectionstrategies/DET0449#AN1242)*