# AN1348 — Analytic 1348 ## Descrição Detecta a cadeia comportamental de acesso cross-account em nuvem: (1) principal de conta cruzada ou terceiro assume um role no tenant/assinatura/projeto; (2) chamadas de API privilegiadas são feitas em rápida sucessão; (3) o acesso origina-se de redes ou geolocalizações desconhecidas. Correlaciona eventos de assume-role/federação com uso de API sensível. A telemetria inclui logs do AWS CloudTrail (`AssumeRole`, `AssumeRoleWithWebIdentity`), Azure Activity Logs para troca de identidade e GCP Audit Logs para Service Account impersonation correlacionados com geolocalização e APIs chamadas. Esta detecção é essencial para identificar comprometimento de relações de confiança entre contas em nuvem, onde adversários exploram roles de confiança configurados para acesso legítimo cross-account para escalar privilégios e acessar recursos de produção. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1199-trusted-relationship|T1199 — Trusted Relationship]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1348](https://attack.mitre.org/detectionstrategies/DET0488#AN1348)*