# AN1328 — Analytic 1328 ## Descrição Detecta picos no acesso a objetos por um novo usuário ou role IAM seguidos de exfiltração de dados para IPs externos. A telemetria inclui logs do CloudTrail (AWS), Azure Activity Logs ou GCP Audit Logs para acesso massivo a objetos de armazenamento (S3 GetObject, Azure Blob read), correlacionados com criação recente de identidade IAM e transferências de dados de saída para endereços IP externos não reconhecidos. Esta detecção é crítica em ambientes de nuvem pois representa a fase de exfiltração após comprometimento de credenciais IAM, onde adversários utilizam identidades recém-criadas ou comprometidas para extrair dados sensíveis em larga escala de buckets de armazenamento em nuvem. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1328](https://attack.mitre.org/detectionstrategies/DET0484#AN1328)*