# AN1424 — Analytic 1424 ## Descrição Detecta a recuperação de tokens de instância a partir de endpoints de metadados como AWS IMDS (169.254.169.254) ou Azure IMDS, seguida de uso da API com o token obtido por aplicações não padronizadas que indicam abuso de identidade de instância. A telemetria inclui logs de CloudTrail (AWS) ou Activity Log (Azure) que registram chamadas de API autenticadas com credenciais de instância, correlacionados com eventos de acesso ao endpoint de metadados a partir de processos não esperados. Essa detecção é crítica para ambientes de nuvem onde o SSRF (Server-Side Request Forgery) e comprometimento de instâncias são usados para roubar credenciais temporárias e mover lateralmente para outros recursos da conta cloud. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1552-005-cloud-instance-metadata-api|T1552.005 — Cloud Instance Metadata API]] - [[t1528-steal-application-access-token|T1528 — Steal Application Access Token]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN1424](https://attack.mitre.org/detectionstrategies/DET0515#AN1424)*