# AN1502 — Analytic 1502 ## Descrição Monitora o uso suspeito de serviços administrativos nativos de nuvem (como AWS Systems Manager Run Command, Azure RunCommand, GCP OS Config) para executar código dentro de VMs, detectando anomalias como comandos executados por usuários inesperados, execução fora de janelas de manutenção ou comandos iniciados por service accounts não vinculadas a administração. A telemetria inclui logs de plano de controle de nuvem (CloudTrail, Azure Activity Log), correlacionados com eventos de criação de processos no nível do sistema operacional hospedeiro. Esta analítica é importante porque adversários com credenciais de IAM comprometidas podem usar serviços de gerenciamento legítimos de nuvem para executar código arbitrário nas VMs sem necessidade de acesso SSH/RDP direto, evadindo controles de acesso de rede. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1651-cloud-administration-command|T1651 — Cloud Administration Command]] --- *Fonte: [MITRE ATT&CK — AN1502](https://attack.mitre.org/detectionstrategies/DET0545#AN1502)*