# AN1356 — Analytic 1356 ## Descrição Detecta alterações anômalas ou não autorizadas em configurações de computação em nuvem que modificam quotas, políticas de tenant, associações de assinatura ou regiões de implantação permitidas. Cadeias de comportamento suspeito incluem aumento repentino de solicitações de quota de computação seguido de nova criação de instância ou recursos, modificações de política que enfraquecem restrições de segurança, ou habilitação de regiões de nuvem previamente não utilizadas. Correlação entre identidade, configuração e logs de provisionamento subsequentes é crítica para distinguir atividade administrativa legítima de abuso adversarial. A telemetria inclui logs de CloudTrail/Activity Logs para modificações de configuração, alertas de AWS Config/Azure Policy e eventos de criação de recursos em regiões não habituais. Esta detecção identifica adversários que expandem a footprint em nuvem para mineração de criptomoeda ou criar infraestrutura de ataque adicional às custas da vítima. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] - [[t1578-004-revert-cloud-instance|T1578 — Modify Cloud Compute Infrastructure]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] --- *Fonte: [MITRE ATT&CK — AN1356](https://attack.mitre.org/detectionstrategies/DET0492#AN1356)*