# AN1372 — Analytic 1372 ## Descrição Detecta adversários desabilitando agentes de monitoramento e logging em nuvem como CloudWatch, Google Cloud Monitoring ou Azure Monitor por meio de chamadas de API ou encerramento de processos de agente em instâncias gerenciadas. Utiliza logs de auditoria de nuvem (CloudTrail, GCP Audit Logs, Azure Activity Logs) para identificar chamadas de desabilitação de serviços de monitoramento e eventos de parada de agentes em instâncias compute. Crítico pois adversários que comprometem credenciais de nuvem frequentemente desabilitam logging como primeiro passo para cobrir rastros antes de executar exfiltração ou movimentação lateral em ambientes IaaS. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] --- *Fonte: [MITRE ATT&CK — AN1372](https://attack.mitre.org/detectionstrategies/DET0497#AN1372)*