# AN1285 — Analytic 1285 ## Descrição Detecta o uso de contas de serviço padrão conhecidas ou contas root de nível de nuvem realizando autenticação ou alterações em políticas IAM. A telemetria utilizada inclui logs de sign-in do provedor de identidade, eventos de modificação de política IAM e alertas de acesso privilegiado a recursos críticos. Esta detecção é relevante pois contas de serviço padrão são frequentemente esquecidas em ambientes de nuvem e podem ser exploradas por adversários para escalonamento de privilégios ou criação de backdoors persistentes na infraestrutura de identidade. **Plataformas:** Identity Provider --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN1285](https://attack.mitre.org/detectionstrategies/DET0465#AN1285)*