# AN1470 — Analytic 1470 ## Descrição Detecta o uso de APIs de nuvem para criar ou importar chaves SSH ou gerar novas chaves de acesso (`CreateAccessKey`, `ImportKeyPair`, `CreateLoginProfile`) a partir de acesso não-console ou por principals incomuns. A telemetria inclui logs do CloudTrail (AWS), Azure Activity Log e GCP Cloud Audit Logs, com foco em operações de criação de credenciais fora de janelas de mudança aprovadas ou por identidades sem histórico de tais operações. Esta analítica é crítica para detectar persistência em ambientes IaaS, onde adversários criam backdoors de acesso programático que sobrevivem à rotação de credenciais interativas. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] --- *Fonte: [MITRE ATT&CK — AN1470](https://attack.mitre.org/detectionstrategies/DET0531#AN1470)*